還記得BlueBorne嗎?一年過去了,仍有20億藍芽裝置的漏洞沒有修復
前言
去年這個時候,國外安全廠商Armis公佈了8個藍芽漏洞,可讓黑客無視藍芽版本完全控制裝置和資料。Armis將這一組漏洞合為名叫“BlueBorne”的攻擊媒介。當時,BlueBorne的殺傷範圍幾乎涵蓋所有具備藍芽功能的Android、Linux、Windows和iOS裝置。自從漏洞披露之後,各大廠商一直在穩步推送相關更新。但根據Armis的估算,仍有超過20億的裝置仍然暴露在風險之中,它們沒有進行更新,或者壓根就接收不到更新補丁。
讓我們回顧一下BlueBorne並瞭解一下現狀。
什麼是BlueBorne?
BlueBorne是去年九月Armis實驗室釋出的一組由藍芽漏洞組成的攻擊媒介名稱,危及支援藍芽功能的移動、桌面和物聯網作業系統,包括Android、iOS、Windows和Linux等裝置,包含以下8個漏洞:
Linux核心RCE漏洞 – CVE-2017-1000251 Linux藍芽堆疊(BlueZ)資訊洩漏漏洞 – CVE-2017-1000250 Android資訊漏洞漏洞 – CVE-2017-0785 Android RCE漏洞#1 – CVE-2017-0781 Android RCE漏洞#2 – CVE-2017-0782 Android Bluetooth Pineapple邏輯缺陷-CVE-2017-0783 Windows Bluetooth Pineapple邏輯缺陷-CVE-2017-8628 Apple低功耗音訊協議RCE漏洞 – CVE-2017-14315
憑藉這些漏洞,黑客能夠通過無線方式利用藍芽協議攻擊和控制裝置、訪問資料和網路,甚至滲透到某些安全的物理隔離網路,並在裝置間傳播惡意軟體。 期間攻擊者無需與目標裝置進行配對,並且目標裝置沒有設定為可發現模式也不在話下,這一點就厲害了。
BlueBorne有多危險?
BlueBorne無需物理鏈路,只要無線訊號即可投入攻擊,就像感冒病毒一樣,BlueBorne通過空氣從一個裝置“傳染到”另一個裝置。它瞄準了目前網路防禦中極度薄弱的地方,可能也是沒有針對性安全措施保護的地方。由於藍芽程序在所有作業系統上都具有高許可權,因此利用它可以實現對裝置的完全控制。
對黑客來說,這樣的特性揉合在一起就像一個大禮包一樣,適用面相當廣泛,比如說網路間諜、資料盜竊、勒索、甚至構建由多種型別裝置組成的超大規模殭屍網路。此外,BlueBorne可入侵與網際網路等網路進行物理隔離的系統和裝置,光這一點大部分攻擊手段都難望其項背。
舉個例子,黑客可以使用Blueborne實現遠端程式碼執行或中間人攻擊:
與傳統的惡意軟體攻擊不同,使用者無需單擊連結或下載可疑檔案,啟動攻擊無需誘騙使用者採取任何操作。
通過空氣傳播使得攻擊更具傳染性,並且難以發現。
物理隔離的工業系統、政府機構和關鍵基礎設施面臨極高的風險。
現狀如何?
數十億裝置仍處在威脅之中
當ARMIS公佈了BlueBorne後,許多供應商都發布了針對這些缺陷的補丁和軟體更新。但是據Armis估算,至少有20億臺裝置的漏洞沒有得到修復。包括:
執行Linux的7.68億臺裝置
執行Android 5.1(Lollipop)和更早版本的7.34億臺裝置
執行Android 6(Marshmallow)和更早版本的2.61億臺裝置
執行受影響的的Windows版本的 2億臺裝置
執行iOS 9.3.5及更早版本的5000萬臺裝置
這些裝置有些未修復,而有些不可修復,範圍涵蓋伺服器、可穿戴裝置、工業裝置到醫療裝置等。按照Armis的說法,其中很大一部分原因是企業不知道內部有多少支援藍芽功能的裝置。因此在進行商業活動是,無論是員工和訪客處於漏洞未修復的環境中時都會面臨重大風險。
補丁仍然需要花費大量時間進行部署
在發現漏洞和威脅時,廠商可能需要數週、數月甚至更長時間才能部署更新。去年四月 Armis 就通知了受影響的供應商,五個月後才披露了BlueBorne。讓我們來看一下BlueBorne披露時間表和廠商推送終端使用者補丁的時間節點。
2017年9月12日:Armis與Google、Linux和Microsoft就BlueBorne進行了首次公開披露。
當月,谷歌向合作伙伴釋出補丁,Linux釋出補丁資訊,微軟向所有受影響的Windows裝置推送補丁;
2017年10月3日:21天后,Verizon向旗下發售的收集推送了補丁;
2017年10月8日:華為釋出安全建議並更新有關受影響裝置的資訊;
2017年10月10日:Verizon推送了第二波補丁;
2017年10月13日:AT&T推送了Nexus 6和LG V10的更新;
2017年10月30日:AT&T的第二波更新補丁到達特定使用者的裝置;
2018年1月8日:Verizon推送第三波補丁;
2018年6月7日:聯想為一些老款安卓平板電腦升級韌體以修復漏洞。
同時,iOS 10及更高版本不受BlueBorne的影響,但以前的版本受到影響並且仍未修補。
2017年年11月14日:第二次公開BlueBorne披露
Armis對BlueBorne漏洞做了第二次公開披露,這次影響了1500萬臺Amazon Echo和500萬臺Google Home裝置。亞馬遜和谷歌自動將補丁推送到Echo和Google Home裝置。
短短几個月就可以看到許多供應商的努力和進步,Amazon和Google改進了系統的更新機制,比如Google的Project Treble專案實現了Android作業系統的模組化,使得供應商能夠更輕鬆、更快地向終端使用者推送關鍵安全更新。
但是,大量裝置仍然難以及時得到更新,原因包括以下三點:
並非所有Android裝置都支援Project Treble,必須要通過廠商自己的方式進行更新。
目前仍在使用的裝置中有些已經被淘汰了,或者是不再得到支援(包括2.09億臺的iOS裝置),根本無法接收更新。
執行的Linux的裝置(如醫療裝置和工業裝置)很難或無法打補丁。
正如下圖所示,像BlueBorne這樣的漏洞需要很長的時間才會消亡。特別是安卓和Linux裝置的曲線拖了很長的尾巴:
藍芽漏洞仍層出不窮
Wi-Fi協議(802.11)只有450頁,而藍芽標準居然有了2822頁。藍芽協議太複雜了,協議堆疊層中定義了太多特定應用和功能。過度複雜的直接結果是藍芽標準漏洞頻出。
關於藍芽漏洞,實際上最可怕的事情還不是它能做什麼,而是還有多少藍芽漏洞我們未能先於網路犯罪分子發現和披露。BlueBorne喚醒了業界對於藍芽漏洞和攻擊方式的研究,下圖反應了自BlueBorne披露以來,其他藍芽漏洞的發現數量:
2018年2月 – 研究人員在iOS、watchOS和tvOS中披露了一個藍芽漏洞,該漏洞可以允許沙箱內的程序與沙箱外的其他程序通訊。
2018年3月 – 研究人員公佈了五個Android藍芽遠端程式碼執行漏洞(CVE-2017-13160、CVE-2017-13255、CVE-2017-13256、CVE-2017-13272、CVE -2017-13266)。Android 8.1修復了這些漏洞,但執行Android 7.0或更早版本的裝置仍無防範之力,而這些裝置的數量有13億之巨。
2018年5月 – 騰訊的研究人員披露了BMW ConnectedDrive中的藍芽漏洞。
2018年7月 – 以色列研究人員發現可不要求裝置驗證在安全配對期間通過無線方式接收的公共加密金鑰。該漏洞影響主要供應商(包括蘋果、博通、英特爾和高通 )的韌體或作業系統。
結語
在企業中,非受管和物聯網裝置的使用數量呈指數級增長,企業的連通性和生產力也實現了質的飛躍,因此也成了新的攻擊物件。網路犯罪分子越來越關注利用漏洞攻擊這些裝置的方式,藍芽算是一個大頭。由於藍芽裝置的數量非常龐大,而且針對性的攻擊可以通過無線方式實現並且在裝置之間傳播,對於任何組織或個人來說都是需要正視威脅。現有安全產品中的絕大部分只能檢測和阻止通過網際網路進行的攻擊,端點保護、移動裝置管理、防火牆和其他網路安全產品等無法阻止像BlueBorne這樣的無線攻擊。
*參考來源: ofollow,noindex" target="_blank">Darkreading ,Freddy編譯整理,轉載請註明來自 FreeBuf.COM。