德州仪器( Texas Instruments )公司生产的低功耗蓝牙(BLE)芯片存在漏洞,全球数百万接入点及其他企业联网设备暴露在远程攻击风险之下。
低功耗蓝牙(BLE),也就是 蓝牙 4.0,是为不需要交换大量数据的应用设计的,比如智能家居、可穿戴运动健身设备等。BLE平时处于睡眠状态,只有发起连接时才会被激活,因而功耗很低。与经典蓝牙类似,BLE有效距离在100米左右,但其数据传输率通常为 1 Mbit/s,比经典蓝牙的 1-3 Mbit/s 低。
物联网(IoT)安全公司Armis过去曾发现过名为BlueBorne的蓝牙漏洞集,如今,该公司研究人员又在德州仪器制造的BLE芯片中发现了2个严重漏洞。这些芯片被用在思科和惠普旗下 Aruba Networks 生产的接入点及其他企业联网设备中。
Armis表示,这些供应商每年向企业卖出70%的无线接入点,但目前尚不清楚具体有多少设备受漏洞影响。
比特出血(BLEEDINGBIT)
Armis将这两个漏洞命名为“比特出血(BLEEDINGBIT)”,称可致未经身份验证的攻击者远程获取受影响设备的完整控制权并侵入托管该设备的企业网络。
医疗行业使用的设备,比如胰岛素泵和起搏器,也使用了受影响的BLE芯片,因而可能受到“比特出血”攻击的影响。
Armis公司正在评估“比特出血”漏洞的全部影响,但截至目前,可以确定的是,该漏洞影响德州仪器生产的多种芯片。其中一个漏洞被纳入通用漏洞与暴露库(CVE),编号为CVE-2018-16986,装载 BLE-STACK 2.2.1 及更早版本的CC2640和CC2650芯片,还有加载 1.0 或更早版本协议栈的CC2640R2芯片受其影响。
思科Aironet系列无线接入点和 Meraki MR 接入点中也存在该漏洞,但只有在设备主动扫描的时候该漏洞才可能被利用。
第二个漏洞编号为CVE-2018-7080,存在于CC2642R2、CC2640R2、CC2640、CC2650、CC2540和CC2541芯片中,但只有在使用该芯片的设备开启了无线固件下载功能时,该安全漏洞才会被利用。目前为止,仅Aruba的几款接入点产品在用该功能。
身处目标设备有效距离内的攻击者可以利用第一个漏洞远程执行代码。如果BLE开启且设备处于主动扫描中,恶意黑客就可以发送特别构造的数据包以触发内存溢出,进而执行任意代码。
攻击者可以在芯片上安装后门,然后夺取系统的完整控制权。至于接入点,攻击者可利用被侵入的接入点向网络中其他设备扩散,即便网络做了分隔设置。
目前仅在Aruba设备中发现的第二个漏洞,可令攻击者向目标接入点投放恶意更新并重写其操作系统。攻击者可借之获得设备的完整控制权。
因为所有Aruba接入点都使用相同的OAD密码——监听合法更新或逆向工程该设备便可获取,执行该攻击相对比较简单。不过,Aruba指出,只有BLE广播开启时才有可能执行该漏洞利用,而该功能默认是禁用的。
BLE的100米有效距离内都可以执行该“比特出血”攻击,但Armis称,如果攻击者使用定向天线,该距离可增加至两倍甚至三倍。一旦接入点落入掌控,攻击者便可通过互联网创建带外连接,从而不再需要待在该BLE有效范围内。Armis表示,该攻击在1-2分钟内即可施行。
今年夏天Armis便通告了受影响供应商有关该漏洞的情况。德州仪器发布 BLE-STACK version 2.2.2 解决了CVE-2018-16986。至于OAD相关漏洞,该芯片制造商指出,此功能就不应该用在生产环境中。思科和Aruba也发布了受影响产品的相关补丁。
Armis的漏洞描述帖:
德州仪器公司漏洞修复:
http://www.ti.com/tool/BLE-STACK
思科补丁:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181101-ap
Aruba补丁:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-006.txt
相关阅读
