Skip to content

Exynos Modem baseband vulnerabilities CVE-2023-26072 / 26073 / 26074 / 26075

Samsung Shannon baseband'inin 5G Mobility-Management (NAS) mesaj codec'inde bulunan, Project Zero'nun 90 günlük süre dolduktan sonra açıkladığı dört adet heap buffer overflow.

Mechanism

Invariant: bir network parser, havadan gelen length/count alanlarına asla güvenmemeli

Bir baseband, cihaz network'ü authenticate etmeden ya da ona güvenmeden önce network'ten gelen 3GPP NAS signaling'ini — 5G Mobility Management (5G MM) mesajları dahil — decode eder. Bu mesajlar TLV/IE-encoded'dir: her Information Element bir identifier ile bir length veya element count taşır ve codec, sabit boyutlu internal yapıları doldurmak için bunların üzerinde yürür.

Böyle bir parser için güvenlik invariant'ı şudur: attacker tarafından sağlanan her length veya count, kopyalama yapılmadan önce destination buffer'a karşı validate edilmelidir. Project Zero'nun seti (on sekiz Exynos bulgusundan halka açıklanan dördü) hep aynı sınıftandır: Shannon 5G MM codec'i (Shannon debug string'lerinde NrmmMsgCodec) network-controlled bir count/length'e göre kopyalama yapar ve bunu sınırlamaz, dolayısıyla aşırı boyutlu bir IE, bir heap allocation'ı taşırır (CWE-787, out-of-bounds write):

  • CVE-2023-26072Emergency number list (IEI 0x34) decode edilirken oluşan heap overflow.
  • CVE-2023-26073extended emergency number list decode edilirken oluşan heap overflow.
  • CVE-2023-26074operator-defined access category definitions decode edilirken oluşan heap overflow.
  • CVE-2023-26075 — 5G MM codec'inde Service Area List decode edilirken oluşan overflow.

Kırılan sınır air-interface → baseband heap olduğundan, geçerli attacker modeli signaling'i kim kontrol ediyorsa odur: bu dördü, yalnızca kurbanın telefon numarasına ihtiyaç duyan gizli tutulan internet-to-baseband RCE'lerin (CVE-2023-24033, -26496, -26497, -26498) aksine, bir malicious / rogue base station ya da düşmanca bir network operatörü (veya local erişim) gerektirir.

Walkthrough

Bunlar açıklanmış defensive araştırma çıktılarıdır; silahlandırılmış bir zincir yeniden üretilmiyor. Temsili yol şudur: bozuk (malformed) bir 5G MM mesajı hazırla, bunu kontrol edilen bir network'ten ilet, ardından modem'in çökmesini gözlemle.

  1. Kontrol edilen bir network kur. Bir test/rogue gNodeB (örneğin SDR üzerinde, korumalı/ yetkili bir laboratuvarda çalışan open-source bir 5G stack'i) araştırmacının kendisine bağlı hedef Exynos handset'ine keyfi NAS mesajları göndermesini sağlar.

  2. Zafiyetli IE'yi hedefle. Zafiyetli IE'si codec'in sınırlamadığı bir count/length beyan eden bir 5G MM mesajı oluştur. CVE-2023-26072 için kavramsal olarak:

# illustrative 5G MM "Emergency number list" IE (IEI=0x34) with an
# oversized entry count that the NrmmMsgCodec copies unchecked
IEI=0x34  Len=<oversized>  [ entries... overrun destination heap buffer ]

??? example "Neden count validation işin kalbi" Shannon'ın decoder'ı beklenen maksimum entry sayısına göre boyutlandırılmış sabit bir yapı allocate eder, sonra beyan edilen count üzerinde döner. Beyan edilen count allocation'ı aştığında ve loop gövdesi sonun ötesine yazdığında, komşu heap bozulur. Dört CVE yalnızca hangi IE/yapının (emergency list, extended emergency list, access-category definitions, service-area list) kontrol edilmeyen count'u sağladığı konusunda farklıdır.

  1. Tetikle ve gözlemle. Mesajın gönderilmesi baseband'i fault'a sokar. Emülasyonda bu, RF olmadan yeniden üretilip triyaj edilebilir — tam olarak Shannon re-hosting çalışmasının mümkün kıldığı türden bir analiz: emulating-samsung-s-baseband-for-security-testing.md and firmwire-transparent-dynamic-analysis-for-cellular-baseband.md.
# expected: modem task fault / RTOS assertion, baseband reset / radio drop

Bu dördü, aşağıda belgelenen internet-to-baseband RCE'lerle aynı kampanyadan gelen, daha düşük şiddetli, süre sonrası (post-deadline) açıklamalardır: exynos-modem-internet-to-baseband-rce-cve-2023-24033.md and exynos-modem-internet-to-baseband-rce-cve-2023-26496-cve.md.

Detection

  • Patch-level audit. Cihazın Exynos baseband'inin Samsung SMR (Mart 2023, Nisan'da bir takip ile) düzeltmelerini taşıdığını doğrula; etkilenen parçalar arasında Exynos 850/980/1080/1280/2200, Modem 5123/5300, Auto T5123 ve W920 bulunur.
  • Anomalous-signaling monitoring. Yönetilen dağıtımlarda, IMSI-catcher / rogue-base-station tespiti ve NAS-anomaly izleme, bu bug'ların gerektirdiği malformed-message iletim yolunu işaretler.
  • Baseband crash telemetry. Belirli bir cell ile ilişkilendirilen tekrarlayan modem reset'leri / radio drop'ları, bir NAS-codec overflow'unun istismar edilmeye çalışıldığına işaret edebilir.
  • Pre-disclosure discovery. 5G MM codec'inin coverage-guided emülasyon fuzzing'i, bu overflow sınıfını ürün gönderilmeden önce ortaya çıkarır (Shannon'ı incelemek için kullanılan aynı harness).

Mitigation

  • Vendor firmware güncellemelerini uygula (Samsung SMR-2023-03 / -04, Pixel 6/7 için Google Mart 2023 Pixel bülteni).
  • Erişilebilir RAT/attack surface'i azalt. Project Zero'nun ilgili internet-to-baseband bug'ları için geçici tavsiyesi — Wi-Fi calling ve VoLTE'yi devre dışı bırakmak — network'ten erişilebilir parser maruziyetini küçültür; bu NAS-codec bug'ları için ise, güvenilmeyen network'lere attach olmaktan kaçınmak rogue-base-station vektörünü sınırlar.
  • AP/baseband sınırını zorla. Modem'i application processor açısından güvenilmez kabul et; IOMMU-gated shared memory ve mesaj validasyonu, ele geçirilmiş bir baseband'i çevreler.
  • Kök nedeni düzelt: NAS codec'indeki attacker-controlled her IE length/count'ı, kopyalamadan önce destination allocation'a karşı sınırla.

References