Security Week 45: кое-что об уязвимостях в Bluetooth

Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых исследования этой темы, но даже самая широкомасштабная серия уязвимостей BlueBorne не вызвала такого резонанса, как, скажем, уязвимости HeartBleed ^[1].

В совокупности эти исследования представляют особый интерес, так как речь идет о неожиданном векторе атаки, который в ряде случаев позволяет полностью обойти защиту локальной сети предприятия или системы безопасности клиентского устройства. Достаточно приблизиться к устройствам на относительно небольшое расстояние или же иметь хорошую антенну. Наиболее интересна в этом контексте самая свежая уязвимость, обнаруженная в оборудованных Bluetooth беспроводных точках доступа.

Уязвимость в модулях Bluetooth Low Energy компании Texas Instruments была найдена компанией Armis (новость ^[2], исследование ^[3]). По сложившейся традиции, для нее было придумано название — Bleedingbit — и логотип.

Эти чипы могут использоваться для расширения функциональности беспроводных точек доступа Wi-Fi у таких производителей, как Cisco, Meraki и Aruba. Как правило, модуль Bluetooth Low Energy применяется для идентификации пользовательских устройств — например, для оптимизации беспроводной сети, в рекламно-маркетинговых целях или же для отслеживания перемещений оборудования. Всего было обнаружено две уязвимости. Первая (CVE-2018-16986, подвержен ряд устройств Cisco и Meraki) вызывает переполнение буфера посредством отправки подготовленного пакета данных через Bluetooth с дальнейшим перехватом контроля над устройством.

Вторая уязвимость (CVE-2018-7080) затрагивает только устройства Aruba (например, точку доступа 203R ^[4]). Там можно удаленно задействовать систему обновления прошивки Bluetooth-чипа, которая в нормальных условиях должна быть отключена. На самом деле она отключается не всегда, как не всегда блокируется доступ к устройству через диагностический интерфейс. В точках доступа Aruba обновление прошивки возможно после ввода пароля, но он оказался одинаковым для всех устройств серии.

Вернемся к первой уязвимости. Основанная на ней атака использует пакеты Bluetooth Advertising ^[5]. Эта функциональность может быть задействована в рекламных или информационных целях и предполагает обмен данными без авторизации устройств. Данные могут рассылаться стационарной точкой доступа, а могут собираться от клиентов. Именно процесс сбора эксплуатируется в предполагаемой атаке. Он может применяться, например, для идентификации покупателей в магазине, у которых на смартфоне установлено определенное приложение. В общем, это такая неочевидная функциональность, которая, как теперь стало известно, может иметь применения, неожиданные как для клиентов, так и для компаний — владельцев инфраструктуры. В статье на сайте ArsTechnica ^[6] утверждается, что даже в контексте данной уязвимости еще есть что покопать, хотя изначальная проблема уже закрыта производителем Bluetooth-чипа.

А что еще происходило по теме Bluetooth-уязвимостей? Наиболее серьезную проблему обнаружила ^[7] в сентябре прошлого года та же компания Armis Labs. Серия уязвимостей BlueBorne (исследование в PDF ^[8]) была найдена в протоколе Bluetooth, а значит, подвержены ей оказались если не все, то подавляющее большинство Bluetooth-устройств: патчить пришлось и Windows, и Android, и iOS, и Linux (и Tizen, если это кому-то интересно).

В Linux потребовалось обновить как стек BlueZ, так и само ядро (подвержены версии 2.6.32–4.14). Атака, как обычно, должна быть нацелена на конкретное устройство, но она возможна, даже если модуль недоступен для обнаружения. В контексте Android, как показано на видео выше, можно получить контроль над устройством либо использовать одну из уязвимостей для проведения атаки Man-In-The-Middle. Почти во всех случаях уязвимости приводят к частичной утечке данных из оперативной памяти устройства. В сентябре этого года, по оценке Armis Labs, более двух миллиардов устройств (из исходных то ли пяти, то ли восьми миллиардов) оставались уязвимыми.

Наконец, в июле этого года исследователи из Израиля нашли (новость ^[9], подробнее ^[10]) уязвимость в протоколе шифрования данных. Это типичное научное исследование: проблема была в механизме проверки эллиптических кривых, используемых для шифрования передаваемых данных. Точнее, в отсутствии этой самой проверки, что теоретически позволяет провести атаку Man-In-The-Middle. Атака возможна в процессе установления соединения между двумя устройствами: злоумышленник может вклиниться в этот процесс и внедрить некорректный ключ шифрования с последующим перехватом данных.

По результатам всех трех исследований наиболее серьезную опасность представляют уязвимости BluBorne, но здесь не сообщалось о практических кибератаках. Возможно, потому, что даже «простой» сценарий требует присутствия в зоне действия Bluetooth-модуля жертвы, в то время как есть масса способов атаковать устройства удаленно. Между тем самый первый вирус для смартфонов ^[11], еще в отсутствие постоянного подключения устройств к сети, использовал для распространения как раз технологию Bluetooth. Еще чуть больше ошибок в коде, и мы можем столкнуться с массовой атакой, распространяющейся воздушно-капельным путем между мобильными устройствами, вообще без применения Интернета. А можем и не столкнуться, но продолжать наблюдение за Bluetooth-уязвимостями стоит. Как и в случае со сложными атаками Spectre/Meltdown, спектр угроз с использованием Bluetooth-подключения пока до конца не определен.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник ^[12]