Хабрахабр

Security Week 45: кое-что об уязвимостях в Bluetooth

Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых исследования этой темы, но даже самая широкомасштабная серия уязвимостей BlueBorne не вызвала такого резонанса, как, скажем, уязвимости HeartBleed.

Достаточно приблизиться к устройствам на относительно небольшое расстояние или же иметь хорошую антенну. В совокупности эти исследования представляют особый интерес, так как речь идет о неожиданном векторе атаки, который в ряде случаев позволяет полностью обойти защиту локальной сети предприятия или системы безопасности клиентского устройства. По сложившейся традиции, для нее было придумано название — Bleedingbit — и логотип. Наиболее интересна в этом контексте самая свежая уязвимость, обнаруженная в оборудованных Bluetooth беспроводных точках доступа.
Уязвимость в модулях Bluetooth Low Energy компании Texas Instruments была найдена компанией Armis (новость, исследование).

Эти чипы могут использоваться для расширения функциональности беспроводных точек доступа Wi-Fi у таких производителей, как Cisco, Meraki и Aruba. Как правило, модуль Bluetooth Low Energy применяется для идентификации пользовательских устройств — например, для оптимизации беспроводной сети, в рекламно-маркетинговых целях или же для отслеживания перемещений оборудования. Всего было обнаружено две уязвимости. Первая (CVE-2018-16986, подвержен ряд устройств Cisco и Meraki) вызывает переполнение буфера посредством отправки подготовленного пакета данных через Bluetooth с дальнейшим перехватом контроля над устройством.

Там можно удаленно задействовать систему обновления прошивки Bluetooth-чипа, которая в нормальных условиях должна быть отключена. Вторая уязвимость (CVE-2018-7080) затрагивает только устройства Aruba (например, точку доступа 203R). В точках доступа Aruba обновление прошивки возможно после ввода пароля, но он оказался одинаковым для всех устройств серии. На самом деле она отключается не всегда, как не всегда блокируется доступ к устройству через диагностический интерфейс.

Основанная на ней атака использует пакеты Bluetooth Advertising. Вернемся к первой уязвимости. Данные могут рассылаться стационарной точкой доступа, а могут собираться от клиентов. Эта функциональность может быть задействована в рекламных или информационных целях и предполагает обмен данными без авторизации устройств. Он может применяться, например, для идентификации покупателей в магазине, у которых на смартфоне установлено определенное приложение. Именно процесс сбора эксплуатируется в предполагаемой атаке. В статье на сайте ArsTechnica утверждается, что даже в контексте данной уязвимости еще есть что покопать, хотя изначальная проблема уже закрыта производителем Bluetooth-чипа. В общем, это такая неочевидная функциональность, которая, как теперь стало известно, может иметь применения, неожиданные как для клиентов, так и для компаний — владельцев инфраструктуры.

Наиболее серьезную проблему обнаружила в сентябре прошлого года та же компания Armis Labs. А что еще происходило по теме Bluetooth-уязвимостей? Серия уязвимостей BlueBorne (исследование в PDF) была найдена в протоколе Bluetooth, а значит, подвержены ей оказались если не все, то подавляющее большинство Bluetooth-устройств: патчить пришлось и Windows, и Android, и iOS, и Linux (и Tizen, если это кому-то интересно).

В Linux потребовалось обновить как стек BlueZ, так и само ядро (подвержены версии 2.6.32–4.14). Атака, как обычно, должна быть нацелена на конкретное устройство, но она возможна, даже если модуль недоступен для обнаружения. В контексте Android, как показано на видео выше, можно получить контроль над устройством либо использовать одну из уязвимостей для проведения атаки Man-In-The-Middle. Почти во всех случаях уязвимости приводят к частичной утечке данных из оперативной памяти устройства. В сентябре этого года, по оценке Armis Labs, более двух миллиардов устройств (из исходных то ли пяти, то ли восьми миллиардов) оставались уязвимыми.

Это типичное научное исследование: проблема была в механизме проверки эллиптических кривых, используемых для шифрования передаваемых данных. Наконец, в июле этого года исследователи из Израиля нашли (новость, подробнее) уязвимость в протоколе шифрования данных. Атака возможна в процессе установления соединения между двумя устройствами: злоумышленник может вклиниться в этот процесс и внедрить некорректный ключ шифрования с последующим перехватом данных. Точнее, в отсутствии этой самой проверки, что теоретически позволяет провести атаку Man-In-The-Middle.

Возможно, потому, что даже «простой» сценарий требует присутствия в зоне действия Bluetooth-модуля жертвы, в то время как есть масса способов атаковать устройства удаленно. По результатам всех трех исследований наиболее серьезную опасность представляют уязвимости BluBorne, но здесь не сообщалось о практических кибератаках. Еще чуть больше ошибок в коде, и мы можем столкнуться с массовой атакой, распространяющейся воздушно-капельным путем между мобильными устройствами, вообще без применения Интернета. Между тем самый первый вирус для смартфонов, еще в отсутствие постоянного подключения устройств к сети, использовал для распространения как раз технологию Bluetooth. Как и в случае со сложными атаками Spectre/Meltdown, спектр угроз с использованием Bluetooth-подключения пока до конца не определен. А можем и не столкнуться, но продолжать наблюдение за Bluetooth-уязвимостями стоит.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть