Ejecución remota de código en los modems MDM de Qualcomm

La vulnerabilidad se encuentra en la funcionalidad Access Point de Qualcomm (QCMAP), presente en la mayoría de los modems 4g LTE de la serie MDM de la empresa.

La compañía de seguridad Vdoo ha descubierto múltiples vulnerabilidades en el componente QCMAP (Qualcomm Mobile Access Point) presente en muchos de los modems de Qualcomm, como los modelos de la serie MDM9xxx. La más grave de estas vulnerabilidades permite la ejecución remota de código en el dispositivo.

La vulnerabilidad, identificada como CVE-2020-3657 y con CVSSv3 8.8, se debe a la falta de validación de los parámetros de entrada del fichero de script ‘qcmap_web_cgi’. La función que recibe dichos parámetros utiliza la función ‘snprintf’ para crear el fichero temporal con los comandos a ejecutar, separando los argumentos de entrada comas (‘,’). No obstante, si a la entrada se usa punto y coma, pueden introducirse comandos adicionales en la ejecución.

Por ejemplo, ‘qcmap_web_cgi?page=SetMediaDir&dir=fakedir;sleep%2010’ incluiría el comando ‘sleep 10’ en el script temporal a ejecutar, pudiendo reemplazarse por el que se desee. Para la explotación de la vulnerabilidad se requiere estar autenticado, aunque podría aprovecharse junto con otra vulnerabilidad para lograr la ejecución sin requerir acceso.

La misma empresa ha encontrado otras vulnerabilidades, identificadas como CVE-2020-25858 (de tipo ‘desferencia a puntero nulo’, causado si no encuentra el símbolo ‘=’ al interpretar los parámetros) y CVE-2020-25859 (similar a la primera, pero presente en el binario QCMAP_CLI).

Las vulnerabilidades ya han sido parcheadas en los dispositivos de la serie MDM basados en Android. Sus usuarios deberían aplicar cuanto antes el parche de octubre de 2020, o uno posterior. No todos los usuarios de dichos modems están afectados, como los usuarios del TP-Link M7350 (en el cual los binarios afectados habían sido modificados) por lo que para comprobar si el equipo está afectado, una de las formas más eficaces es ejecutar una de las pruebas de concepto (del inglés ‘Proof of Concept’ o PoC).

En caso de estar afectado, y no poder actualizar, se recomienda impedir el acceso al equipo desde la red, bien desconectándolo o usando un firewall o WAF para así evitar su explotación.

Más información:

Major Vulnerabilities Discovered in Qualcomm QCMAP:
https://www.vdoo.com/blog/qualcomm-qcmap-vulnerabilities

Comparte en tus redes: