The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в Bluetooth-чипах TI, позволяющие удалённо выполнить код

02.11.2018 10:54

Исследователи безопасности из компании Armis сообщили о выявлении двух критических уязвимостей в BLE (Bluetooth Low Energy) чипах от компании Texas Instruments (CC2640, CC2650 и CC1350), используемых в моделях беспроводных точек доступа Cisco, Meraki и Aruba для предприятий. Уязвимости позволяют выполнить код в контексте BLE-чипа, после чего получить привилегированный доступ к основному программному окружению точки доступа. Атака не требует прохождения аутентификации и может быть совершена при нахождении злоумышленника в пределах досягаемости Bluetooth Low Energy (около 10 метров).

BLE в беспроводной точке доступа обычно применяется для подключения IoT-устройств и различного специализированного оборудования (например, медицинских датчиков), а также для отслеживания перемещения посетителей в магазинах. В качестве одного из векторов атаки называется замена прошивки на вариант с вредоносным кодом, который может анализировать трафик (например, перехватывать пароли), атаковать пользователей (например, подставлять вредоносные JavaScript-вставки в незашифрованные HTTP-сеансы) и использоваться в качестве плацдарма для расширения атаки на другие элементы корпоративной сети.

Первая уязвимость (CVE-2018-16986) затрагивает точки доступа Cisco Aironet (1540, 18xx, 4800) и Meraki MR (30H, 33, 42E, 53E, 74) и позволяет инициировать переполнение буфера в прошивке чипа при обработке определённым образом оформленных широковещательных BLE-сообщений. Эксплуатация уязвимости выполняется в два этапа. На первом этапе отправляется обычный advertising-пакет, который сохраняется BLE-чипом в памяти. На втором этапе отправляется некорректный advertising-пакет с модифицированными флагами в заголовке, обработка которого приводит к выделению буфера недостаточного размера и перетиранию данных за пределами буфера. Первый пакет позволяет сохранить в памяти предназначенный для выполнения вредоносный код, а второй пакет даёт возможность переопределить указатель для передачи управления этому коду. Проблема проявляется только при включении BLE и активации в настройках режима сканирования устройств (отключен по умолчанию).

Вторая уязвимость (CVE-2018-7080) проявляется в беспроводных точках доступа Aruba (AP-3xx, IAP-3xx, AP-203R, AP-203RP) и вызвана недоработкой в коде загрузки OTA-обновлений прошивок для BLE-чипов TI. Суть уязвимости в использовании предопределённого пароля доступа к функции обновления прошивки, который одинаков на всех устройствах и который можно узнать анализируя трафик во время штатного обновления прошивки или проведя обратный инжиниринг прошивки. Данный пароль можно использовать для организации установки злоумышленником модифицированного обновления прошивки.

Компании Cisco, Meraki и Aruba уже выпустили обновления прошивок, блокирующих уязвимость. Компания Texas Instruments устранила проблему в прошивке BLE-STACK 2.2.2. Опасность уязвимостей оценивается как незначительная, так как, во-первых, атака возможна только при включении неактивной по умолчанию опции сканирования устройств BLE, а, во-вторых, эксплуатация уязвимости сильно усложнена и требует адаптации эксплоита для каждой модели устройства или разработки модифицированной прошивки.

  1. Главная ссылка к новости (https://armis.com/bleedingbit/...)
  2. OpenNews: Уязвимость, компрометирующая шифрование в различных реализациях Bluetooth
  3. OpenNews: BlueBorne - опаснейшая удалённая уязвимость в Bluetooth-стеках Linux, Android, iOS и Windows
  4. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  5. OpenNews: Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов
  6. OpenNews: 83% изученных беспроводных маршрутизаторов содержат неисправленные уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bluetooth
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (38) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:46, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Проблема проявляется только при включении BLE и активации в настройках режима сканирования устройств (отключен по умолчанию).
    Первая уязвимость - это очередная новость в духе: "Чтобы злоумышленник получил доступ к оборудованию, пароль должен быть оставлен на столе".
     
     
  • 2.2, Аноним (2), 13:13, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Или например привезли Анонима в больницу, а там злоумышленник и бац,  ЭКГ - оК, а пульса нет, вот досада.
     
  • 2.3, нах (?), 13:16, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > также для отслеживания перемещения посетителей в магазинах

    какой тут "пароль на столе"? Типичная задача современных горе-бизнесов - слежка.

    для того, надо понимать, ненужно-чип ненужно-ble и поставили в wifi точку, где он был бы абсолютно ненужным, если бы только эта точка раздавала wifi, а не воровала бы маки прохожих.

     
     
  • 3.11, Аноним (11), 15:28, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> также для отслеживания перемещения посетителей в магазинах
    > какой тут "пароль на столе"? Типичная задача современных горе-бизнесов - слежка.
    > для того, надо понимать, ненужно-чип ненужно-ble и поставили в wifi точку, где
    > он был бы абсолютно ненужным, если бы только эта точка раздавала
    > wifi, а не воровала бы маки прохожих.

    А зачем точке маки прохожих?

     
     
  • 4.13, ыы (?), 15:40, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что прохожие - бывают разные... есть ненужные им самим даже.. а есть более другие люди...
     
  • 4.30, пох (?), 19:18, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем точке маки прохожих?

    наклонился слишком близко к полке с импортозамещенкой - спалил мак - хто ета у нас, ага, вот и профиль (надеюсь, не надо объяснять, кто и сколько сливает данных с твоей мабилы) - при выходе из супермаркета без покупки - пришлем sms "что ж это ты так, имярек имярекович, дарим тебе скидку на ольховую кору 20%"
    Ну а если ты шибкоумный и wifi не просто отключен (модный -современный ведроид и с "отключенным" продолжает собирать информацию об окружающих точках) а совсем-совсем отключен, то есть вот еще шанс, что bt тебе нужен, например, для гарнитуры.

     
  • 4.45, Аноним (-), 01:27, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем точке маки прохожих?

    Цыска на основе этого статистику собирает, heatmap строит и все такое. Местами даже разумно получается - например, магазин по усредненной статистике может увидеть закутки куда покупатели не заходят.

    //а так рандомные маки в помощь. Правда это больше для вафли. Блупуп лучше просто отключить.

     
     
  • 5.48, пох (?), 10:04, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > например, магазин по усредненной статистике может увидеть закутки куда покупатели не заходят.

    это вменяемый менеджер и так видит - или пусть у уборщицы спросит, где не натоптано, если феноменально тyпoй или жопой прирос к креслу подальше от этих мелких людишек.
    Но они хотят видеть куда конкретный покупатель заходит, и именно ему что-то впарить. И точность разрешения у поддельных точек еще пять лет назад была сантиметровой - то есть оно не то что закутки, оно видит, наклонился ты к нижней полке, или тянулся к верхней.

    > а так рандомные маки в помощь

    это очень недружественный к батарее метод на ведроидах >4 (которые ломятся куда не надо при выключенном wifi) и ненадежный при этом.

    > Блупуп лучше просто отключить.

    наушники оставить дома, да и мобилу тоже. Потому что так придется ВСЕ выключить. Потому что любую технологию в современном мире стараются прежде всего приспособить именно для слежки. Периодически вообще забывая, зачем ее изначально придумали.

     
     
  • 6.50, Аноним (-), 03:31, 05/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а тут, понимаешь, гламурный сервис, с картой помещения и раскраской где польз... текст свёрнут, показать
     
  • 3.12, КГБ СССР (?), 15:39, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    За что платят — про то и бизнесы.
     
     
  • 4.31, пох (?), 19:19, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    где моя доля, блин? Я тоже хочу воровать маки и нихрена полезного для людишек не делать!
     
  • 2.9, Michael Shigorin (ok), 14:11, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > (отключен по умолчанию)

    Это может спасти -- "there's no more powerful thing than the default", как у Malx'а когда-то значилось в ~/.sig...

    > Первая уязвимость - это очередная новость в духе:

    А вот это очередной случай так называемого downplaying.

     
     
  • 3.24, Аноним (24), 17:40, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    кто такой Malx?
     
     
  • 4.26, Michael Shigorin (ok), 18:01, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > кто такой Malx?

    Malx aka Malvin, старый приятель Лёша Медведев... хорошо бы с ним всё хорошо было.

    А подпись та вот здесь видна: https://ntu-kpi.comp.programming.narkive.com/DzXsgrjp/h -- "There is no thing in the world more powerful than default"

     
     
  • 5.46, Аноним (-), 01:29, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Defaults will prevail". Автора фразы не знаю, но он кэп...
     
  • 2.41, Аноним (-), 01:18, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Первая уязвимость - это очередная новость в духе: "Чтобы злоумышленник получил доступ
    > к оборудованию, пароль должен быть оставлен на столе".

    Вообще-то пароль оставили в коде прошивки, использовали при апдейте, и первые же запустившие снифер получили возможность заапдейтить код на что-нибудь более интересное и работающее на них.

     

  • 1.4, eganru (?), 13:39, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    [i]Данный пароль можно использовать для организации установки злоумышленником модифицированного обновления прошивки.[/i] - если пароль меняется, то наверное ничего плохого нет.

    Чтобы если пришло много сразу устройств, сразу можно было бы обновить, а потом только менять пароль.

    Или я что-то неправильно понял?

     
     
  • 2.8, Аноним (8), 13:56, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В D-Link'ах тоже пароль "admin" меняется, вернее, поменять можно. Однако, на практике, плохого наблюдается много.
    Надо, пока не поменяют умолчальный пароль, не позволять включать радиоканал.
     
     
  • 3.47, Аноним (-), 01:31, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык посмотри как openwrt сделан. При первом входе в морду - извольте задать пароль. А вафля по дефолту отключена, так что в морду вы все же зайдете. И менеджмент типа ssh только из LAN. И только после того как пароль зададут.

    ...а теперь попробуйте что-нибудь на основе openwrt раздолбать так же как длинк :)

     
  • 3.49, пох (?), 10:06, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо, пока не поменяют умолчальный пароль, не позволять включать радиоканал.

    не надо - как я еще, по твоему, этим м..ам буду выключать радиоканал?

     
     
  • 4.51, Аноним (-), 03:37, 05/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > не надо - как я еще, по твоему, этим м..ам буду выключать радиоканал?

    Инженерный пароль нагуглишь.

     
     
  • 5.53, КО (?), 08:52, 06/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте внимательно - Ваш корреспондент написал вЫключить. :)

    Другими словами он намекает, что после того как его включат, пароль никто запомнить не удосужится. :)

     

  • 1.5, Аноним (5), 13:43, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Я не уверен что использование блютуза в мед оборудовании хорошая идея. У меня колонка через раз цепляется, а мыша глючила так что пришлось юзать провод
     
     
  • 2.6, eganru (?), 13:46, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    увы, многие вещи происходят под давлением бизнеса.
     
     
  • 3.10, Michael Shigorin (ok), 14:12, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > увы, многие вещи происходят под давлением бизнеса.

    ...точнее, "жадность и непрофессионализм" (ц) АЕН

     
  • 2.15, Cradle (?), 15:56, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    сейчас как раз работаю на embedded проекте с глубокой интеграцией BLE, могу сказать что протокол достаточно продуман что-бы на нём при желании делать серьёзные вещи, но спеки достаточно запутанные чтобы по глупости легко всё изгадить.
     
     
  • 3.42, Аноним (-), 01:20, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > протокол достаточно продуман
    > спеки достаточно запутанные

    Вы не находите что это - взаимоисключающие параграфы? За блупуп в эмбедовке - надо отрывать все что отрывается. Потому что аудит мутной прошивки блюпуп чипа вы не сделаете даже если б и захотели.

     
  • 2.36, Аноним (36), 21:45, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть задачи когда хренова туча проводов тянущаяся к пациенту очень сильно мешает. А ему ещё шевелиться или его ворочать надо.
     

  • 1.7, Аноним (7), 13:56, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не уязвимости, а закладки.
     
  • 1.23, proninyaroslav (ok), 17:23, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тенденция со всеми этими IoT и системами на кристалле с прошивками меня не радует, жаль что времена простых электротехнических решений не вернуть. Вопрос в том когда неконтролируемая возрастающая сложность доведёт электронную промышленность до состояния лопнутого пузыря.
     
     
  • 2.29, Cradle (?), 18:47, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    там уже давно состояние дырявой бочки, и все привыкли, поэтому до лупнутого пузыря оно никогда не дойдёт
     

  • 1.27, Аноним (27), 18:29, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видимо нас ждёт ещё один SDR, но  уже из bluetooth чипов
     
     
  • 2.28, Аноним (27), 18:30, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    предыдущий был nexmon
     
  • 2.43, Аноним (-), 01:22, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Видимо нас ждёт ещё один SDR, но  уже из bluetooth чипов

    Если все люди планеты одновременно возьмут и подпрыгнут, результатом будет землетрясение очень приличной магнитуды. Ну а вот тут "одновременно подпрыгнуть" даже технически реализуемо :)

     

  • 1.37, Аноним (-), 22:44, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Потому как чипы ccXXXX редкостная шляпа. И от корявого проприетарного кода другого и не ожидалось.
     
     
  • 2.40, Alatar (??), 23:33, 03/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что, есть хотя бы один BLE чип с официально поддерживаем OpenSource стеком? Я не видел.
    Впрочем с тем, что BLE-ные CC редкостная шляпа соглашусь. Пробовали на нём делать устройство но вовремя откащались и перешли на чипы другого производителя.
    ЗЫ: но не надо все CC под одну гребёнку. Например семейтво 1120/1175 очень крутые чипы.
     

  • 1.38, Аноним (38), 23:42, 02/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А всего-то надо было изолировать чип... Ну то есть продавать маленькую BLE-приблуду с ethernet вместе с точкой. Но не эмтетично, да.
     
     
  • 2.44, Аноним (-), 01:24, 04/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А всего-то надо было изолировать чип...

    А что значит - изолировать? В тот чип с эзернетом зальют код, он сможет по эзернету свои пакетики слать. И по блюпупу. И вообще делать все что чип и интерфейс с ним позволяет, вплоть до какого-нибудь continious TX в надежде заспамить эфир (типа DoS атака, только на 2.4 ГГц радио вокруг).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру