Exynos Modem Internet-to-Baseband RCE: CVE-2023-26496 / CVE-2023-26497 / CVE-2023-26498¶
IMS Session Description işlemesinde bulunan, her biri yalnızca kurbanın telefon numarasıyla IMS/VoLTE signaling yolu üzerinden uzaktan erişilebilen, Project Zero tarafından açıklanan üç Exynos baseband memory-corruption bug'ı.
Mechanism¶
Bu üç CVE, Google Project Zero'nun Mart 2023'te açıkladığı on sekiz Exynos-modem 0-day'inin en şiddetli dördünün bir parçasıdır. CVE-2023-24033 ile birlikte, hiçbir kullanıcı etkileşimi olmadan, yalnızca kurbanın telefon numarasını gerektirerek Internet-to-baseband remote code execution'ı mümkün kılarlar. Üçü de, baseband'in attacker-influenced Session Description verisini parse etmesindeki memory-corruption bug'larıdır:
- CVE-2023-26496 — "SDP (Session Description Protocol) modülünde fmtp attribute'unu parse ederken parameter length'in uygunsuz kontrolü nedeniyle memory corruption oluşabilir."
- CVE-2023-26497 — "Session Description Negotiation for Video Configuration Attribute işlenirken memory corruption oluşabilir."
- CVE-2023-26498 — "SDP modülünde chatroom attribute'unu parse ederken property sayısının uygunsuz kontrolü nedeniyle memory corruption oluşabilir."
Kırılan invariant: length/count alanları, tanımladıkları buffer'ları kapı gibi denetlemeli
SDP gövdeleri IMS/SIP içinde gezer ve baseband tarafından bir çağrı ya da chat oturumu kabul edilmeden önce parse edilir — yani uzak bir tarafça push edilen veri üzerinde. Doğru bir parser şu invariant'ı tutar: parameter length (fmtp), property count (chatroom) ve müzakere edilen video-configuration boyutları, herhangi bir copy ya da index'ten önce gerçek buffer'a karşı ayrı ayrı validate edilir. Bu üç CVE'nin her biri o invariant'ın ayrı bir kırılışıdır — attacker-controlled bir length ya da count'a güvenilir, dolayısıyla bir copy ya da array write sınırının ötesine taşar. Baseband core, Android kernel'inin trust boundary'sinin altında durduğu için, bu parser'daki bir write primitive'i modem'i ve oradan application processor'ı ele geçirmenin doğrudan yoludur. Üç SDP/IMS attribute'u boyunca üç bağımsız kusur, bunun tek seferlik bir bug değil, modem'in signaling stack'inde sistemik bir parsing-trust sorunu olduğunu gösterir.
Walkthrough¶
Yalnızca temsilidir, halka açık Samsung advisory metninden yeniden oluşturulmuştur. Silahlandırılmış bir zincir verilmemiştir; Project Zero, bu dört bug için exploit detayını politika gereği gizli tutmuştur.
Erişilebilirlik kardeş CVE ile aynıdır: uzak bir IMS user agent'ı kurbanın MSISDN'ine doğru signaling gönderir ve malformed SDP attribute'u cevap öncesi (pre-answer) parse edilir.
Açıklanan her parser'ı tetikleyen temsili attribute'lar (alan değerleri soyut bırakılmıştır):
m=audio 49170 RTP/AVP 96
a=fmtp:96 <oversized-parameter> ; CVE-2023-26496: parameter-length check missing
m=video 49172 RTP/AVP 97
a=<video-config-attribute ...> ; CVE-2023-26497: video config negotiation
a=chatroom:<too-many-properties...> ; CVE-2023-26498: property-count check missing
Gözlemlenen etki (halka açık açıklamadan, çalışan bir PoC değil)
Not: yukarıdaki CVSS 8.6 / High derecesi Samsung'un (CNA) skorudur ve üç Samsung advisory'sinde de doğrulanır; NVD ise CVE-2023-26496'yı Critical (9.8) olarak puanlar — yani severity kaynağa göre değişir.
Bu sınıfı güvenli bir şekilde incelemek için, SDP corpora'sını canlı network'lere karşı değil bir emülatörde rehost edip replay et — bkz. firmwire-transparent-dynamic-analysis-for-cellular-baseband.md.
Detection¶
- Patch-state inventory birincil sinyaldir: baseband build'inin etkilenen chipset'ler (Exynos Modem 5123 / 5300, Exynos 980 / 1080, Exynos 9110, Exynos Auto T5123) için Samsung SMR düzeltmesini taşıdığını doğrula. Not: bu üç CVE'nin etkilenen listesi, kardeş CVE-2023-24033'ün listesinden farklı olarak wearable-sınıf Exynos 9110'u da içerir — üç Samsung advisory'si de 9110'u açıkça listeler.
- Network-side IMS monitoring, subscriber MSISDN'lerine doğru anormal SIP/SDP'yi işaretleyebilir: aşırı boyutlu
fmtpparametreleri, malformed video-configuration attribute'ları ya da anormal property count'lu chatroom attribute'ları. - Gelen IMS signaling'i etrafındaki modem instability (reset'ler, RIL crash'leri, düşen radio) zayıf bir host-side göstergedir; on-device EDR baseband memory'sini doğrudan inceleyemez.
Mitigation¶
Geçici mitigation IMS attack surface'ini ortadan kaldırır
SMR yamaları uygulanana kadar, Project Zero'ya göre Voice-over-LTE (VoLTE) ve Wi-Fi calling'i devre dışı bırak. Bu, bu üç bug'ın üzerinde yaşadığı IMS/SDP yolunu ortadan kaldırır. Carrier ayarlarının bunları sessizce yeniden etkinleştirmediğini doğrula.
- Kalıcı düzeltme olarak, CVE-2023-26496/26497/26498'i ele alan Samsung'un SMR / vendor firmware güncellemelerini uygula.
- Geçici bir kontrol olarak VoLTE / VoWiFi'ı devre dışı bırak.
- Mimari olarak, her SDP attribute parser'ı length ve count alanlarını gerçek buffer sınırlarına karşı validate etmeli ve IMS core'ları malformed signaling'i yukarı akışta (upstream) filtrelemelidir.