德州儀器( Texas Instruments )公司生產的低功耗藍牙(BLE)芯片存在漏洞,全球數百萬接入點及其他企業聯網設備暴露在遠程攻擊風險之下。
低功耗藍牙(BLE),也就是 藍牙 4.0,是為不需要交換大量數據的應用設計的,比如智能家居、可穿戴運動健身設備等。BLE平時處於睡眠狀態,只有發起連接時才會被激活,因而功耗很低。與經典藍牙類似,BLE有效距離在100米左右,但其數據傳輸率通常為 1 Mbit/s,比經典藍牙的 1-3 Mbit/s 低。
物聯網(IoT)安全公司Armis過去曾發現過名為BlueBorne的藍牙漏洞集,如今,該公司研究人員又在德州儀器製造的BLE芯片中發現了2個嚴重漏洞。這些芯片被用在思科和惠普旗下 Aruba Networks 生產的接入點及其他企業聯網設備中。
Armis表示,這些供應商每年向企業賣出70%的無線接入點,但目前尚不清楚具體有多少設備受漏洞影響。
比特出血(BLEEDINGBIT)
Armis將這兩個漏洞命名為“比特出血(BLEEDINGBIT)”,稱可致未經身份驗證的攻擊者遠程獲取受影響設備的完整控制權並侵入托管該設備的企業網絡。
醫療行業使用的設備,比如胰島素泵和起搏器,也使用了受影響的BLE芯片,因而可能受到“比特出血”攻擊的影響。
Armis公司正在評估“比特出血”漏洞的全部影響,但截至目前,可以確定的是,該漏洞影響德州儀器生產的多種芯片。其中一個漏洞被納入通用漏洞與暴露庫(CVE),編號為CVE-2018-16986,裝載 BLE-STACK 2.2.1 及更早版本的CC2640和CC2650芯片,還有加載 1.0 或更早版本協議棧的CC2640R2芯片受其影響。
思科Aironet系列無線接入點和 Meraki MR 接入點中也存在該漏洞,但只有在設備主動掃描的時候該漏洞才可能被利用。
第二個漏洞編號為CVE-2018-7080,存在於CC2642R2、CC2640R2、CC2640、CC2650、CC2540和CC2541芯片中,但只有在使用該芯片的設備開啟了無線固件下載功能時,該安全漏洞才會被利用。目前為止,僅Aruba的幾款接入點產品在用該功能。
身處目標設備有效距離內的攻擊者可以利用第一個漏洞遠程執行代碼。如果BLE開啟且設備處於主動掃描中,惡意黑客就可以發送特別構造的數據包以觸發內存溢出,進而執行任意代碼。
攻擊者可以在芯片上安裝後門,然後奪取系統的完整控制權。至於接入點,攻擊者可利用被侵入的接入點向網絡中其他設備擴散,即便網絡做了分隔設置。
目前僅在Aruba設備中發現的第二個漏洞,可令攻擊者向目標接入點投放惡意更新並重寫其操作系統。攻擊者可借之獲得設備的完整控制權。
因為所有Aruba接入點都使用相同的OAD密碼——監聽合法更新或逆向工程該設備便可獲取,執行該攻擊相對比較簡單。不過,Aruba指出,只有BLE廣播開啟時才有可能執行該漏洞利用,而該功能默認是禁用的。
BLE的100米有效距離內都可以執行該“比特出血”攻擊,但Armis稱,如果攻擊者使用定向天線,該距離可增加至兩倍甚至三倍。一旦接入點落入掌控,攻擊者便可通過互聯網創建帶外連接,從而不再需要待在該BLE有效範圍內。Armis表示,該攻擊在1-2分鐘內即可施行。
今年夏天Armis便通告了受影響供應商有關該漏洞的情況。德州儀器發佈 BLE-STACK version 2.2.2 解決了CVE-2018-16986。至於OAD相關漏洞,該芯片製造商指出,此功能就不應該用在生產環境中。思科和Aruba也發佈了受影響產品的相關補丁。
Armis的漏洞描述帖:
https://armis.com/bleedingbit/
德州儀器公司漏洞修復:
http://www.ti.com/tool/BLE-STACK
思科補丁:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181101-ap
Aruba補丁:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-006.txt
閱讀更多 安全牛 的文章
