Pesquisadores de segurança cibernética descobriram fraquezas nos alto-falantes inteligentes Sonos que podem ser exploradas por agentes mal-intencionados para espionar usuários clandestinamente.
As vulnerabilidades “levaram a uma quebra whole na segurança do processo de inicialização segura do Sonos em uma ampla gama de dispositivos e permitiram que vários dispositivos fossem comprometidos remotamente pelo ar”, disseram os pesquisadores de segurança do NCC Group, Alex Plaskett e Robert Herrera.
A exploração bem-sucedida de uma dessas falhas pode permitir que um invasor remoto obtenha captura de áudio secreta de dispositivos Sonos por meio de um ataque over-the-air. Elas impactam todas as versões anteriores ao lançamento 15.9 do Sonos S2 e ao lançamento 11.12 do Sonos S1, que foram enviadas em outubro e novembro de 2023.
As descobertas foram apresentadas na Black Hat USA 2024. Uma descrição dos dois defeitos de segurança é a seguinte:
- CVE-2023-50809 – Uma vulnerabilidade na pilha Wi-Fi do Sonos One Gen 2 não valida adequadamente um elemento de informação ao negociar um handshake WPA2 de quatro vias, levando à execução remota de código
- CVE-2023-50810 – Uma vulnerabilidade no componente U-Boot do firmware Sonos Period-100 que permitiria a execução persistente de código arbitrário com privilégios do kernel Linux
O NCC Group, que fez engenharia reversa no processo de inicialização para obter execução remota de código nos dispositivos Sonos Period-100 e Sonos One, disse que o CVE-2023-50809 é o resultado de uma vulnerabilidade de corrupção de memória no driver sem fio do Sonos One, que é um chipset de terceiros fabricado pela MediaTek.
“No driver wlan, há uma possível gravação fora dos limites devido à validação de entrada imprópria”, disse a MediaTek em um aviso para CVE-2024-20018. “Isso pode levar à escalada native de privilégios sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para exploração.”
O acesso inicial obtido dessa maneira abre caminho para uma série de etapas de pós-exploração que incluem a obtenção de um shell completo no dispositivo para obter controle whole sobre o alto-falante inteligente no contexto de root, seguido pela implantação de um novo implante Rust capaz de capturar áudio do microfone em estreita proximidade física com o alto-falante.
A outra falha, CVE-2023-50810, está relacionada a uma cadeia de vulnerabilidades identificadas no processo de inicialização segura para violar dispositivos Period-100, efetivamente tornando possível contornar os controles de segurança para permitir a execução de código não assinado no contexto do kernel.
Isso poderia então ser combinado com uma falha de escalonamento de privilégios de N dias para facilitar a execução de código de nível ARM EL3 e extrair segredos criptográficos suportados por {hardware}.
“No geral, há duas conclusões importantes a serem tiradas desta pesquisa”, disseram os pesquisadores. “A primeira é que os componentes OEM precisam ter o mesmo padrão de segurança que os componentes internos. Os fornecedores também devem executar modelagem de ameaças de todas as superfícies de ataque externas de seus produtos e garantir que todos os vetores remotos tenham sido submetidos a validação suficiente.”
“No caso de fraquezas de inicialização segura, é importante validar e executar testes da cadeia de inicialização para garantir que essas fraquezas não sejam introduzidas. Tanto vetores de ataque baseados em {hardware} quanto em software program devem ser considerados.”
A divulgação ocorre no momento em que a empresa de segurança de firmware Binarly revelou que centenas de produtos UEFI de quase uma dúzia de fornecedores são suscetíveis a um problema crítico na cadeia de suprimentos de firmware conhecido como PKfail, que permite que invasores ignorem o Safe Boot e instalem malware.
Especificamente, ele descobriu que centenas de produtos usam uma chave de plataforma de teste gerada pela American Megatrends Worldwide (AMI), que provavelmente foi incluída em sua implementação de referência na esperança de que fosse substituída por outra chave gerada com segurança por entidades posteriores na cadeia de suprimentos.
“O problema surge da 'chave mestra' do Safe Boot, conhecida como Platform Key (PK) na terminologia UEFI, que não é confiável porque é gerada por Unbiased BIOS Distributors (IBVs) e compartilhada entre diferentes fornecedores”, disse, descrevendo-o como um problema de silício cruzado que afeta as arquiteturas x86 e ARM.
“Esta Chave de Plataforma (…) frequentemente não é substituída por OEMs ou fornecedores de dispositivos, resultando em dispositivos enviados com chaves não confiáveis. Um invasor com acesso à parte privada da PK pode facilmente ignorar o Safe Boot manipulando o banco de dados Key Alternate Key (KEK), o Banco de Dados de Assinatura (db) e o Banco de Dados de Assinatura Proibida (dbx).”
Como resultado, o PKfail permite que agentes mal-intencionados executem código arbitrário durante o processo de inicialização, mesmo com o Safe Boot habilitado, permitindo que eles assinem código malicioso e entreguem um bootkit UEFI, como o BlackLotus.
“O primeiro firmware vulnerável ao PKfail foi lançado em maio de 2012, enquanto o mais recente foi lançado em junho de 2024”, disse Binarly. “No geral, isso torna esse problema de cadeia de suprimentos um dos mais duradouros do gênero, abrangendo mais de 12 anos.”
