BLE晶片Bleedingbit漏洞
Armis發現了兩個影響AP和其他非託管裝置的晶片級漏洞。因為這兩個漏洞都與Texas Instruments (TI)的BLE (Bluetooth Low Energy)晶片有關,因此漏洞被稱為Bleedingbit。因為晶片是嵌入在其他裝置中的,包括Cisco, Meraki和Aruba的AP裝置,而這幾家嘗試的企業級網路裝置市場份額約佔70%。
這兩個漏洞允許非授權的攻擊者在不被檢測到的情況下入侵企業網路。攻擊者可以控制AP,在不同的網路段中移動,並在不同網路段中建立橋接,也就打破了原有的網路隔離。
漏洞概述
Armis發現的這兩個漏洞都是與BLE晶片有關。BLE協議書基於原有的藍芽協議,並建立了緊密相連的網路並應用在IoT裝置中。除了應用於AP這樣的網路裝置外,醫療中心也用BLE在高價值目標中追蹤信標的位置。零售商將BLE應用於POS裝置和室內導航,同時BLE也被用於酒店業、辦公室、智慧家庭中的智慧門鎖。
BLE晶片提供了一些新的特徵,同時也引入了一些新的風險,擴大了攻擊面。這在AP這樣的網路裝置中尤其明顯,因為晶片使AP裝置擁有了新的功能,如果存在晶片級的漏洞,那麼整個網路都會受到威脅。本文描述的漏洞除了漏洞本身以外,還提供了一個新的攻擊面。
非授權和無法檢測到的攻擊
因為BLEEDINGBIT漏洞會影響負責無線通訊的BLE晶片,因此該漏洞可被遠端利用。一般的遠端攻擊都是通過網際網路實施的,但是BLEEDINGBIT漏洞可以通過OTA的方式被遠端利用。攻擊者在未經認證的情況下可以以非成員的身份對一個安全網路進行入侵。Airborne攻擊對攻擊者來說是非常有利的,首先,傳統安全措施是不能檢測到的;第二,其傳染性會使用攻擊在一定範圍內蔓延。
漏洞原理
BLEEDINGBIT RCE漏洞 (CVE-2018-16986)
BLEEDINGBIT RCE漏洞是德州儀器(TI)晶片漏洞,該晶片嵌入在許多裝置中,本文研究主要針對AP。研究人員稱,如果BLE開啟,在無須任何裝置資訊的情況下,攻擊者利用該漏洞攻擊附近的裝置。首先,攻擊者會發送廣播資訊(即廣告包),這些資訊將儲存到目標裝置的記憶體中。這些包資料是非惡意的,只含有攻擊者隨後會使用的程式碼。這一活動傳統的安全解決方案是無法檢測到的。
然後攻擊者會繼續傳送修改了特定頭資訊的標準廣告包,將header中的特定位從ON變為OFF。這一位的改變會使晶片在分配資訊時超出需要的空間,觸發程序中關鍵記憶體溢位。
洩漏的記憶體中含有函式指標,即指向特定程式碼段的記憶體,攻擊者可以用來指向之前傳送了的程式碼。此時攻擊者就可以在目標裝置上執行惡意程式碼,安裝後門,等待通過BLE傳輸的下一步攻擊命令。
攻擊者可以修改BLE晶片的行為,攻擊裝置主處理器,獲取處理器的完全控制權限。對AP來說,攻擊者獲取完全控制權限後就可以達到網路中的任何位置,打破網路隔離的限制。攻擊者還可以利用被控制的裝置來基於距離進行傳播,發起airborne攻擊。
BLEEDINGBIT OAD RCE漏洞(CVE-2018-7080)
BLEEDINGBIT OAD RCE漏洞只發生在Aruba Access Point Series 300中,其使用了TI的OAD(Over the Air firmware Download,OTA韌體下載)特徵。技術上講,這實際上是BLE晶片設計用來進行韌體更新的後門。OAD特徵常被用作開發工具,也被用於AP生產中。允許附近的攻擊者來訪問和安裝全新和不同版本的韌體,甚至覆寫BLE晶片的作業系統。
預設情況下,OTA特徵並不自動配置為解決安全更新韌體的問題。OAD允許執行在BLE晶片上的韌體通過GATT事務進行簡單更新。在Aruba的AP中,會加入一個硬編碼的密碼來預防OAD特徵被攻擊者濫用。
但是通過合法更新或逆向Aruba的BLE韌體來獲取硬編碼密碼的攻擊者可以連線到有漏洞的AP的BLE晶片,並上傳含有攻擊者程式碼的惡意韌體,達到重寫作業系統、獲取完全控制權的目的。
如何應對?
關於CVE-2018-16986漏洞,TI釋出了BLE-STACK更新。關於CVE-2018-7080漏洞,如果在線上、生產環境中沒有適當的安全防護,建議關閉OAD功能。
允許攻擊者通過OTA進行傳播的漏洞對企業和個人來說都是一種很大的威脅。終端保護、移動資料管理、防火牆和網路安全解決方案等目前的安全措施都不是為識別這類攻擊和相關的漏洞、利用而設計的,這些安全措施主要是攔截通過IP連線進行傳播的攻擊。
因此需要新的安全措施來解決這一新的airborne攻擊向量,尤其是與air gapping和網路隔離不相關的攻擊。隨著桌面、手機、IoT裝置的增長,確保這類漏洞不被利用非常重要。