В Bluetooth-чипах обнаружены две критические уязвимости

03 ноября 2018 г., суббота

Бреши Bleedingbit ставят под угрозу миллионы устройств и множество корпоративных сетей.

Специалисты компании Armis, занимающейся обеспечением безопасности IoT-устройств, обнаружили две критические уязвимости в чипах Bluetooth Low Energy (BLE) производства компании Texas Instruments. Эти микросхемы используются помимо прочего в точках доступа Cisco, Meraki и Aruba. Поскольку они составляют около 70% рынка, бреши ставят под удар миллионы устройств по всему миру. В Armis отмечают, что затронутым может оказаться и другое оборудование со встроенными BLE-чипами, в частности медицинское. В данный момент масштабы проблемы выясняются.

Ошибки, которые исследователи назвали общим именем Bleedingbit, дают злоумышленникам возможность удаленно и без аутентификации перехватывать контроль над точками доступа, проникать во внутренние сети предприятий, свободно перемещаться по сетевым сегментам, создавая между ними мосты, и устанавливать вредоносное ПО.

Еще одна особенность таких атак — это то, что они осуществляются не через Интернет, а через протокол BLE. Это дает злоумышленникам возможность оставаться незамеченными, так как традиционные системы безопасности не смогут их обнаружить.

Первая уязвимость, CVE-2018-16986, затрагивает чипы TI BLE, встроенные в Wi-Fi-точки доступа от Cisco и Meraki. Она позволяет провести атаку, основанную на переполнении памяти. На первом этапе на устройство отправляют множество стандартных BLE-сообщений — «рекламных пакетов» (advertising packets), которые сохраняются в памяти микросхемы. В них содержится код, однако чип и его защитные механизмы не распознают его.

Затем злоумышленники посылают еще один пакет, в заголовке которого активирован особый бит. Этот бит вынуждает чип выделить под пакет гораздо больше места, чем требуется на самом деле, что приводит к переполнению памяти и перезаписи указателей, ссылающихся на определенные фрагменты кода. Благодаря этому злоумышленники могут заставить чип выполнить код, присланный ранее в стандартных рекламных пакетах. В дальнейшем на микросхеме могут установить бэкдор или перепрограммировать ее для перехвата контроля над устройством. Это станет отправной точкой для проникновения во все сегменты сети, которые оно обслуживает.

Проблема найдена в следующих чипах:

  • CC2640 (неR2) с BLE-STACK версии 2.1 или ранее;
  • CC2650 сBLE-STACK версии 2.1 или ранее;
  • CC2640R2 сBLE-STACK версии 0 или ранее;
  • CC1350 сBLE-STACK версии 3.3 или ранее.

В список уязвимых устройств входят следующие продукты Cisco и Meraki:

  • Cisco 1800i Aironet;
  • Cisco 1810 Aironet;
  • Cisco 1815i Aironet;
  • Cisco 1815m Aironet;
  • Cisco 1815w Aironet;
  • Cisco 4800 Aironet;
  • серия Cisco 1540 Aironet;
  • Meraki MR30H;
  • Meraki MR33;
  • Meraki MR42E;
  • Meraki MR53E;
  • Meraki MR74.

Вторую уязвимость, CVE-2018-7080, исследователи обнаружили в функции обновления прошивки по воздуху (Over the Air firmware Download, OAD) BLE-чипов в точках доступа Aruba Access Point Series 300. Эта функция по сути является бэкдором для удаленной установки новой прошивки. Обычно она используется только на стадии разработки, однако может быть активирована в некоторых устройствах, выпущенных в продажу. В точках доступа производства Aruba Networks обнаружился жестко закодированный пароль для OAD, причем один на всю серию. Завладев этим паролем, злоумышленник сможет установить вредоносную прошивку на множество устройств. Баг найден в следующих чипах:

  • CC2642R;
  • CC2640R2;
  • CC2640;
  • CC2650;
  • CC2540.

Исследователи Armis связались с Texas Instruments 20 июня — сразу же, как обнаружили первый из двух багов, CVE-2018-16986. Производитель уже знал об ошибке, однако ранее рассматривал ее только как угрозу стабильности. Выяснив, что баг представляет угрозу безопасности чипа, компания взялась за разработку патчей. На данный момент обновления уже вышли.

Для защиты от второй уязвимости специалисты рекомендуют отключить функцию OAD в производственных сетях, так как она предназначена только для разработки и тестирования.

Технология Bluetooth Low Energy, или Bluetooth с низким энергопотреблением, предназначена для приложений, которые не требуют постоянного обмена данными в больших объемах. Большую часть времени устройство BLE проводит в спящем режиме, активируясь только при передаче коротких сообщений на шлюз, компьютер или смартфон. Дальность действия технологии составляет 300 метров, а скорость передачи данных — 1 Мбит/с.

В интервью изданию ZDNet исследователи Armis отметили, что этот стандарт подвергает устройства «целому спектру новых, связанных с микросхемами брешей, ставящих под угрозу целостность сетей, которые эти устройства обслуживают».

Threatpost