Info Thief

GitHubでSpecterDev氏が、FW6.20のPS4向けのWebkit exploitをリリースしていました。
https://github.com/Cryptogenic/PS4-6.20-WebKit-Code-Execution-Exploit
ユーザーランドでコードを実行するためのPoCで、脆弱性としてCVE-2018-4441が利用されています。

リリースされたのは6.50で対策されてしまったWebkit exploitで、6.20向けとしてのリリースです。
ユーザーランドでコードを実行するためのexploitであり、脱獄やカーネルexploitの類ではありません。
カーネルexploitと組み合わせて使用する、所謂エントリーポイントとなる存在です。
6.20未満でも動作はするはずとの事ですが、gadgetの移植やコードの実行方法の調整が必要なようです。

現時点では5.55～6.20を対象としたカーネルexploitはリリースされていないため、エンドユーザーにとっては
役に立ちません。5.55～6.20を対象としたカーネルexploitを保持する開発者は存在するので、それがリリース
される時に今回のWebkit exploitが利用されるかも、という感じです。
ちなみに、Fire30氏が保持している6.20向けのカーネルexploitは対策されていないようです。
それを確認する術を持つZecoxao氏は「Webkitだけにパッチが当たった」とツイートしています。
https://twitter.com/notzecoxao/status/1104018876508135425

m0rph3us1987氏が35C3で、PS4のビデオアプリで未署名のコードを実行するためのexploitを発表されました。


https://fahrplan.chaos-west.de/35c3chaoswest/talk/TMPXSJ/
https://twitter.com/m0rph3us1987/status/1078683147674550272

発表はドイツ語で行われました。PSX-PlaceではRoxanne氏が英語で解説されています。
・News from #35C3 - @m0rph3us1987 presents his Talk about "Exploiting PS4 Video Apps"
発表されるまでビデオアプリの詳細が不明でしたが、どうやらYouTubeやNetflixのような動画サービス関連のアプリの事
だったようです。m0rph3us1987氏が最初にやったのはIGN, YouTube, Vevo, Netflix, Prime videoといったアプリの
パケットをWiresharkを用いて調査するという事です。その調査の結果、どうやらIGNやVevo等いくつかのビデオアプリ
では「アプリに組み込まれたWebkitのバージョンが古い」「理論的にはFW1.76で使えたWebkit exploitが動作する」
といった事が判明したようです。そこでm0rph3us1987氏は1.76のWebkit exploitをWebサーバに置き、そのサーバに
リダイレクトされるようなDNS環境を用意し、メモリダンプやROPチェーンの検証作業等を行われたようです。
事前情報に「FWのバージョンに関わらず」とあったのは、最新FWのWebkitは最新バージョンだけど、古いWebkitが
組み込まれたビデオアプリ経由なら、という意味だったようです。発表されたのはKernel exploitの類ではありません。

m0rph3us1987氏は発表の最後で結論としていくつかの都合が悪い点を挙げられています。
まず第一にビデオアプリがPSNへの接続を要求するという事です。PS3でもそうでしたが、ソニーは動画サービス関連の
アプリにはPSNの認証を実装しています。他にも、3.15からはJITコンパイラにアクセス出来ない事や、ビデオアプリや
そのWebkitがサンドボックスで動作している事、このexploitの対策が容易な事も結論として挙げられています。
対策が容易というのは、アプリに組み込まれたWebkitを使用するわけですから、そのアプリのバージョンアップによって
簡単に対策可能という事です。対策さえされなければKernel exploitを実行するためのエントリーポイントとして有用な
ようです。現時点では、Kernel exploitが登場すれば使われるかもしれない、という感じです。

GBAtempでKiiWii氏が、FW5.05のPS4向けのペイロードをXMBライクなUIから選択出来るようまとめた
X-Project v1.5.2 をリリースしていました。

TwitterでCelesteBlue氏がFW4.74のPS4向けのカーネルexploitをリリースした事を伝えていました。
https://twitter.com/CelesteBlue123/status/1064285920457838592
http://celesteblue.nopsn.com/PS4/474/
また、GitHubではFW4.74をサポートしたPS4-Kernel-Dumper v1.4をリリースされていました。
https://github.com/eversion/PS4-Kernel-Dumper/releases

「5.05のカーネルexploitがリリースされているのになぜ今更4.74？」と思う方は多いでしょう。
これがリリースされた理由は、4.74の次のFWである5.00から、FWのアップデートに関してある対策が入ったからです。
PS3のハックで遊んでいた方の中には知っている人もいると思いますが、ソニーはPS3ではBDドライブが壊れていたり
接続されていないとゲームが起動出来ないというシステムを実装していました。PS4もそれと似たような感じです。
ソニーはPS4では、BDドライブが壊れていたり接続されていないとFW4.74からはFWをアップデート出来ない、という
システムを5.00から実装しました。私が調べた限りでは、アップデートの最後の最後でエラーが発生するようです。
つまり、今現在主流である5.05のカーネルexploitを用いたハックで遊べない人がいるという事になります。
今回のリリースはそうした人に向けたリリースです。CelesteBlue氏によると今回リリースされた物はSpecterDev氏が
リリースした5.05のカーネルexploitを4.74に移植した物だそうで、CelesteBlue氏によるパッチに従ってzecoxao氏が
コーディングを担当したそうです。
https://twitter.com/CelesteBlue123/status/1064485716393107456
https://twitter.com/CelesteBlue123/status/1064411671098216448
CelesteBlue氏はFW5.07までのFWに対して今回と同様に移植作業に取り組まれるようです。
https://twitter.com/CelesteBlue123/status/1064479270725197824

5.05にアップデート出来る手段が生まれたというわけでは無さそうですが、それでもこれのリリースは朗報でしょう。
今は4.74向けのHEN等のペイロードの登場が待たれるといった感じでしょうか。

GitHubで、Al-Azif氏がPCをPS4のexploitのサーバにして設定にあるユーザーズガイドからexploitを実行可能にする
PS4 Exploit Host v0.4.6a1 をリリースしていました。
・いくつかのマイナーなバグの修正
・いくつかのキャッシングの修正と最適化
・デフォルトテーマのクオリティアップ
・グレーのボタンに関する修正
・設定に関する更新(古い設定ファイルは機能しない)
　-warning/importルールの更新
　-再編成
　-UAチェックはデフォルトで無効に
　-DNS設定を追加
　-ペイロードを送信する際のタイムアウト値設定の追加
　-gzipの圧縮レベル設定の追加
・Originalのindex.htmlを編集する事でpayloadsフォルダの任意のペイロードを送信可能に
・UAブロッカーで正規表現を使用するように
・App2USBのリビルド
が変更点です。

GitHubで、Al-Azif氏がPCをPS4のexploitのサーバにして設定にあるユーザーズガイドからexploitを実行可能にする
PS4 Exploit Host v0.4.5 をリリースしていました。
v0.4.4
・OSXで確認されていたWhitespaceの問題の修正
・HTML5のアプリケーションキャッシュを使用してオフライン環境でexploitを実行可能に(デフォルトで有効)
v0.4.5
・キャッシュマニフェストの作成に関する問題の修正
・マニュフェストにハッシュを追加
が変更点です。

HTML5のアプリケーションキャッシュを用いたオフラインでのexploit実行はGitHub上でps4miner氏が提案(#108)された機能で、
一度ブラウザ(ユーザーズガイド含む)からPS4 Exploit Hostのトップページを表示してしまえば以降はネットに接続していなくても
キャッシュを参照してexploitのページを表示可能になり、オフラインで実行可能になるという物です。
PS4をFTPサーバにするペイロード以外であればオフラインで十分に活用可能です。
このアプリケーションキャッシュの機能はデフォルトで有効になっていますが、もし使用したくないのであればsettings.jsonの
Offline_Cacheの項目をtrueからfalseに書き換えてください。それで無効に出来ます。

GitHubで、Al-Azif氏がPCをPS4のexploitのサーバにして設定にあるユーザーズガイドからexploitを実行可能にする
PS4 Exploit Host v0.4.3 をリリースしていました。
・5.05/5.07がデフォルトで有効に
・5.05向けペイロード/exploitを追加
・ネットワークテストに関する修正
・アップデーターに関する修正
・Raspberry Piでの問題の修正
・settings.jsonの4.05UA偽装とデフォルトテーマのscript.jsの削除
・任天堂の全てのサブドメインをブロックするように
が変更点です。

GitHubで、Al-Azif氏がPCをPS4のexploitのサーバにして設定にあるユーザーズガイドからexploitを実行可能にする
ps4-exploit-host v0.4.2 (5.05サポートver) をリリースしていました。
・FW5.05をサポート
が変更点です。

Twitterで、SpecterDev氏がFW5.05のPS4向けのカーネルexploitをリリースした事を伝えていました。

The 5.05 kernel exploit stack is now released! It includes the kexploit and autolaunches homebrew patches and mira. On subsequent page loads it listens for payloads. Source is up here https://t.co/lUqveOs46A

— Specter (@SpecterDev) 2018年5月27日

また、qwertyoruiop氏が自身の管理するドメインで Mira+HEN としてこのexploitを公開した事を伝えていました。

ps4 5.05 kernel exploit (BPF setf double free) implementation by @SpecterDev: https://t.co/kesIdQXHs4 (incl. Mira + XVortexHEN)

— qwertyoruiop (@qwertyoruiopz) 2018年5月27日

https://github.com/Cryptogenic/PS4-5.05-Kernel-Exploit
http://crack.bargains/505k/

Twitterで、Mathieulh氏が以下のツイートをしていました。

r96810/release_branches/release_05.550 May 10 2018 11:36:21#ps4 #kernelstrings #PlayStation #5.55meme #because_I_can #having_fun #first!

Dear @PlayStation your security is meh...#I_know_your_engineers_can_check_that_timestamp

— Mathieu Hervais (@Mathieulh) 2018年5月22日

これはカーネルに含まれるビルドの際のタイムスタンプで、Mathieulh氏はカーネルダンプが可能なexploitを所持している事になります。
少し前にFW5.53のタイムスタンプも公開されていたので、「まだ対策されてない」という意味も含まれているのでしょう。