Exynos Modem Internet-to-Baseband RCE: CVE-2023-24033¶
Samsung Exynos baseband modemlerinde, cellular network üzerinden erişilebilen bozuk (malformed) IMS/SDP signaling'inin yalnızca kurbanın telefon numarasıyla baseband memory corruption'a yol açtığı, Project Zero tarafından açıklanan bir zafiyet sınıfı.
Mechanism¶
CVE-2023-24033, Google Project Zero'nun 2022 sonu / 2023 başında Exynos modemlerinde raporladığı on sekiz 0-day'in en şiddetli dördünden biridir. Bu dört şiddetli bug (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497, CVE-2023-26498), hiçbir kullanıcı etkileşimi olmadan, yalnızca attacker'ın kurbanın telefon numarasını bilmesini gerektirerek Internet-to-baseband remote code execution'a izin verir.
Kırılan invariant: network'ten gelen attacker-shaped SDP'ye güvenmek
Modern VoLTE / VoWiFi çağrıları, gövdeleri SDP (Session Description Protocol) offer/answer'ları taşıyan SIP kullanılarak IMS üzerinden müzakere edilir. Baseband'in SDP parser'ı bir çağrı cevaplanmadan önce çalışır — uzak bir tarafça push edilen signaling'i işler. Bir parser'ın koruması gereken örtük invariant şudur: attacker tarafından sağlanan bir SDP mesajındaki her length, count ve type alanı, bir buffer'ı index'lemeden önce bağımsız olarak validate edilir. CVE-2023-24033 tam da bunu kırar: Samsung'un advisory'sine göre chipset'ler "Session Description Protocol (SDP) modülü tarafından belirtilen format type'larını düzgün kontrol etmiyor." SDP gövdesi IMS yolunun Internet tarafından geldiği ve baseband core üzerinde parse edildiği için — ki bu Android kernel'inin trust boundary'sinin altında durur ve application processor'a DMA sınıfı erişime sahiptir — oradaki bir parser kusuru, tam cihaz ele geçirilmesinden bir sandbox escape uzaklıkta değildir; bizzat kapıdaki ilk adımdır. Bir denial of service üreten aynı primitive, attacker-controlled length/type alanlarıyla bir memory-corruption write'ına dönüşebilir.
Walkthrough¶
Bu walkthrough yalnızca temsilidir ve halka açık advisory metninden yeniden oluşturulmuştur; silahlandırılmış bir zincir verilmemiştir. Açıklanan bug'lar Project Zero tarafından gerçek cihazlara karşı doğrulanmış, ancak exploit detayları kasıtlı olarak gizli tutulmuştur.
Attack surface, IMS/VoLTE signaling yoludur. Kavramsal olarak:
[ Attacker IMS UA ] --SIP INVITE--> [ Carrier IMS core ] --> [ Victim baseband SDP parser ]
(knows victim MSISDN) (CVE-2023-24033: bad format-type check)
Parser'ın format-type işlemesini tetikleyen temsili bir SDP media description şöyle görünür:
v=0
o=- 0 0 IN IP4 198.51.100.10
m=audio 49170 RTP/AVP <fmt-list>
a=rtpmap:<pt> AMR-WB/16000
a=fmtp:<pt> <attacker-controlled parameters>
Açıklanan kusur, modem'in <fmt-list> / format-type alanlarını SDP modülünün beklentilerine karşı nasıl validate ettiğindedir. Samsung'a göre, buradaki uygunsuz kontrol kontrol edilebilir bir fault üretir. Yamasız bir cihazda, halka açık raporlara göre beklenen gözlemlenebilir sonuç:
Gözlemlenen etki (halka açık açıklamadan, çalışan bir PoC değil)
Bu sınıfı güvenli bir şekilde incelemek isteyen araştırmacılar, modem image'ını rehost edip SDP corpora'sını canlı network'lere karşı değil bir emülatör içinde replay etmelidir — bkz. firmwire-transparent-dynamic-analysis-for-cellular-baseband.md ve emulating-samsung-s-baseband-for-security-testing.md.
Detection¶
- Patch-state inventory. Tek güvenilir sinyal firmware seviyesidir. Cihazın baseband/modem build'inin etkilenen chipset'ler (Exynos Modem 5123 / 5300, Exynos 980 / 1080, Exynos Auto T5123) için Samsung'un SMR (Security Maintenance Release) düzeltmesini taşıdığını doğrula.
- Network-side anomaly monitoring. Carrier IMS core'ları, subscriber MSISDN'lerini hedef alan anormal SIP/SDP offer'larını (alışılmadık
fmtp/a=attribute'ları, aşırı boyutlu ya da malformed media line'ları) işaretleyebilir. - Device behavior. Açıklanamayan modem reset'leri, düşen radio ya da gelen IMS signaling'i etrafındaki RIL crash'leri zayıf ama gerçek göstergelerdir; baseband crash log'ları (vendor diag üzerinden açığa çıktığı yerlerde) SDP-parser fault'larını gösterebilir.
- On-device EDR baseband internal'larını doğrudan göremez; tespit büyük ölçüde bir endpoint sorunu değil, bir patch-level ve network-telemetry sorunudur.
Mitigation¶
Geçici mitigation istismar yolunu ortadan kaldırır
SMR yaması uygulanana kadar Project Zero'nun tavsiyesi, cihaz ayarlarında Wi-Fi calling ve Voice-over-LTE (VoLTE)'yi kapatmaktır. Bunları devre dışı bırakmak, bu sınıf için IMS/SDP attack surface'ini ortadan kaldırır. Carrier'lar bu toggle'ları override edebilir, dolayısıyla gerçekten etkili olduklarını doğrula.
- CVE-2023-24033'ü ve kardeş SDP bug'larını yamalayan Samsung SMR / vendor firmware güncellemesini uygula — kalıcı düzeltme budur.
- Yamanın mevcut olmadığı yerlerde geçici bir kontrol olarak VoLTE ve VoWiFi'ı devre dışı bırak.
- Baseband sınırındaki defense-in-depth (memory-safe parser'lar, her SDP alanında bounds/length validasyonu, IMS-core input filtreleme) uzun vadeli mimari düzeltmedir.