X(旧ツイッター)で、TheFloW氏がPS5のファームウェア8.00でソニーがbd-jbの修正を行ったと公表し、7.61まで有効なbd-jbのPoCを発表していました。
Seems like Sony fixed the bd-jb path traversal sandbox escape on PS5 FW 8.00.
PoC tweetable:
Change https://t.co/rxkvl52uhE to `<baseDirectory>file:///app0/cdc/lib/../../../disc/BDMV/JAR/00000.jar</baseDirectory>`
and enjoy native code execution on PS5 FW 7.61.
— Andy Nguyen (@theflow0) October 25, 2023
ソニーがbd-jbのパストラバーサルサンドボックスエスケープの修正を行ったようです。
ツイートできるPoCです:
https://github.com/TheOfficialFloW/bd-jb/blob/master/bdmv/bdjo.xml#L13の部分を
<baseDirectory>file:///app0/cdc/lib/../../../disc/BDMV/JAR/00000.jar</baseDirectory>に変えて下さい。PS5のファームウェア7.61でネイティブコードの実行ができますよ
パストラバーサルはWebアプリケーションに対する攻撃のことで、ファイル・パスの値を操作することによりファイルシステムにアクセスできるようになります。
サンドボックスはユーザーが通常利用する領域から隔離された保護環境のことで、プログラムやファイルが不正な操作、動作を行ったとしても通常の領域から離れたサンドボックスを経由させることで被害を防ぐことができるセキュリティの仕組みです。それを回避することができるのがサンドボックスエスケープです。
PS5の場合、用意されたセキュリティを回避してシステムへアクセスしてコードが実行できる脆弱性になります。
対策した8.00というのはM.2 SSDの8TBサポートのPS5システムソフトウェアアップデート バージョン 23.02-08.00.00(バージョン8.00)で、現時点での最新ファームウェアです。
8.00より古いファームウェアが未対策となるので、その前のファームウェアである23.01-07.61.00(バージョン7.61)までがbd-jbが利用可能なファームウェアになります。
bd-jbはTheFloW氏が2022年のHardwear.ioカンファレンスで発表した、Blu-ray Discを使ったユーザーランドのコード実行が可能になる脆弱性です。5.00で対策されたとされていましたが、今回TheFloW氏が発表したのは23.01-07.61.00(バージョン7.61)まで利用できるbd-jbということになります。対策されたことが発覚したのではなく、公表しても良くなったから発表したのかもしれません。
PoCとして改変するよう言及している
https://github.com/TheOfficialFloW/bd-jb/blob/master/bdmv/bdjo.xml#L13
は、初期コミットが2年前です。そのコードの一部を入れ替えることで7.61までのPS5でbd-jbが利用できます。
ただし、これはあくまでもユーザーランドexploitでカーネルexploitではありません。カーネルexploitは現時点では4.51までですので、現状ではfpkg起動などが7.61までで可能となるわけではありませんが、言い方を変えるとカーネルexploitさえあれば7.61まではハックできる道が開けたことになります。