MediaTek Wi-Fiチップセットの致命的エクスプロイト: ゼロクリック脆弱性

MediaTek Wi-Fiチップセットの深刻な脆弱性: Zero-Click脆弱性(CVE-2024-20017)がルーターとスマートフォンを脅かす

概要

• SonicWall Capture Labs脅威研究チームはCVE-2024-20017脆弱性を認識し、その影響を評価して緩和策を開発
• CVE-2024-20017はCVSS 3.0スコア9.8の深刻なzero-click脆弱性で、MediaTek Wi-FiチップセットMT7622/MT7915およびRTxxxx SoftAPドライバーバンドルに影響
• Ubiquiti、Xiaomi、Netgearなどさまざまなメーカー製品で使われるMediaTek SDKバージョン7.4.0.1以前、およびOpenWrt 19.07と21.02が影響を受ける
• この脆弱性はユーザー操作なしでリモートコード実行を可能にし、MediaTekはこれを緩和するためのパッチを配布
• この脆弱性は3月に公開・パッチ適用されたが、最近公開されたPoCにより悪用可能性が高まっている

技術的概要

• 脆弱性は、MediaTek MT7622/MT7915 SDKおよびRTxxxx SoftAPドライバーバンドルに含まれるネットワークデーモン wappd に存在
• wappd は無線インターフェースとアクセスポイントを構成・管理する役割を担い、特にHotspot 2.0技術と関連する
• wappd のアーキテクチャは、ネットワークサービス本体、デバイスの無線インターフェースと相互作用するローカルサービス群、そしてUnixドメインソケットを介したコンポーネント間通信チャネルで構成される
• この脆弱性は、攻撃者が制御するパケットデータから直接取得した長さの値をメモリコピーに使用することで発生するバッファオーバーフローに起因する

脆弱性のトリガー

• 脆弱性は IAPP_RcvHandlerSSB 関数で発生し、攻撃者が制御する長さの値が IAPP_MEM_MOVE マクロに渡される
• 最大パケット長1600バイトを超えないことを確認する以外、境界チェックは行われない
• 攻撃者は想定された構造体を攻撃ペイロードの前に付加してパケットを送信する必要がある
• RT_IAPP_HEADER 構造体の長さは小さくなければならず、RT_IAPP_HEADER.Command フィールドは50でなければならない

悪用

• 公開されたエクスプロイトコードはROPチェーンを使用し、グローバルアドレステーブル上書き手法によってリモートコード実行を達成
• system() 呼び出しを利用して、攻撃者にリバースシェルを送るコマンドを実行
• リバースシェルはBashとNetcatツールを使って設定される

SonicWallの保護

• SonicWallの顧客がこの脆弱性による悪用に備えられるよう、以下のシグネチャが配布されている
  • IPS: 20322 MediaTek MT7915 wlan Service OOB Write 1
  • IPS: 20323 MediaTek MT7915 wlan Service OOB Write 2

緩和の推奨事項

• エクスプロイトコードが公開されているため、ユーザーには当該チップセットの最新ファームウェア版へアップグレードすることを強く推奨

関連リンク

• MediaTekセキュリティ告知
• CoffinSecブログ
• Security Online情報
• GitHubリポジトリ

GN⁺のまとめ

• この記事はMediaTek Wi-Fiチップセットの深刻なzero-click脆弱性について扱っており、これはユーザー操作なしでリモートコード実行を可能にする
• SonicWall研究チームはこの脆弱性を認識して緩和策を開発しており、ユーザーには最新ファームウェアへのアップグレードを推奨している
• この脆弱性はさまざまなメーカーのルーターやスマートフォンに影響し、最近公開されたPoCにより悪用可能性が高まっている
• 類似機能を持つ製品としてはQualcommのWi-Fiチップセットがあり、セキュリティアップデートを定期的に確認することが重要