Pesquisadores de segurança revelaram detalhes de duas vulnerabilidades críticas em chips Bluetooth Low Energy (BLE) embutidos em milhões de pontos de acesso e dispositivos de rede usados por empresas em todo o mundo.
Apelidado de BleedingBit, o conjunto de duas vulnerabilidades pode permitir que atacantes remotos executem código arbitrário e assumam o controle total de dispositivos vulneráveis sem autenticação, incluindo dispositivos médicos, como bombas de insulina e marca-passos, bem como dispositivos de ponto de vendas e IoT.
Descobertas por pesquisadores da firma de segurança israelense Armis, as vulnerabilidades existem em chips de pilha Bluetooth Low Energy (BLE) fabricados pela Texas Instruments (TI) que estão sendo usados pela Cisco, Meraki e Aruba em sua linha de produtos corporativos.
A Armis é a mesma empresa de segurança que no ano passado descobriu o BlueBorne, um conjunto de nove falhas de zero-day relacionadas ao Bluetooth no Android, Windows, Linux e iOS que afetaram bilhões de dispositivos, incluindo smartphones, laptops, TVs, relógios e sistemas de áudio automotivo.
Primeira Vulnerabilidade de BleedingBit RCE em Chips BLE (CVE-2018-16986)
A primeira vulnerabilidade, identificada como CVE-2018-16986, existe nos chips TI CC2640 e CC2650 e afeta muitos pontos de acesso Wi-Fi da Cisco e da Meraki. O bug aproveita uma brecha na maneira como os chips Bluetooth analisam os dados recebidos.
De acordo com os pesquisadores, enviar mais tráfego para um chip BLE do que ele supostamente faz com que a corrupção da memória, comumente conhecida como ataque de estouro de pilha, buffer overflow, possa permitir que um invasor execute códigos mal-intencionados em um dispositivo afetado.
“Primeiro, o invasor envia múltiplas mensagens de transmissão BLE benignas, chamadas de Pacotes de Publicidade, que serão armazenadas na memória do chip BLE vulnerável no dispositivo alvo”, explicaram os pesquisadores.
“Em seguida, o invasor envia o pacote de estouro de pilha, que é um pacote de publicidade padrão com uma alteração sutil – um bit específico em seu cabeçalho é ativado em vez de desativado. Esse bit faz com que o chip aloque as informações do pacote em um espaço muito maior que realmente precisa, provocando um estouro de memória crítica no processo “.
Deve-se notar que o ataque inicial requer que um hacker esteja na proximidade física de um dispositivo de destino, mas uma vez comprometido, ele pode controlar o ponto de acesso, permitindo que ele intercepte o tráfego da rede, instale backdoor persistente no chip ou lançar mais ataques em outros dispositivos conectados pela Internet.
Segunda falha BleedingBit OAD RCE em chips BLE (CVE-2018-7080)
A segunda vulnerabilidade, identificada como CVE-2018-7080, reside nos chips TI CC2642R2, CC2640R2, CC2640, CC2650, CC2540 e CC2541 e afeta o ponto de acesso Wi-Fi da Série 300 da Aruba.Esta vulnerabilidade decorre de um problema com o recurso de atualização de firmware da Texas Instruments em chips BLE chamado Over the Air firmware Download (OAD).
Como todos os pontos de acesso da Aruba compartilham a mesma senha OAD que pode ser “obtida por meio de uma atualização legítima ou pelo firmware BLE da Aruba de engenharia reversa”, um invasor pode fornecer uma atualização maliciosa ao ponto de acesso alvo e reescrever seu sistema operacional, ganhando controle sobre o dispositivo.
“Por padrão, o recurso OAD não é configurado automaticamente para endereçar atualizações de firmware seguras. Ele permite um mecanismo de atualização simples do firmware em execução no chip BLE em uma transação GATT”, explicaram os pesquisadores.
“Um invasor … pode se conectar ao chip BLE em um ponto de acesso vulnerável e fazer o upload de um firmware malicioso contendo o próprio código do invasor, permitindo uma reescrita completa do sistema operacional, ganhando controle total sobre ele”, disseram os pesquisadores.
Informações Relacionadas ao Patch
A Armis descobriu as vulnerabilidades do BleedingBit no início deste ano e relatou responsavelmente todos os fornecedores afetados em junho de 2018, e depois também contatou e trabalhou com as empresas afetadas para ajudá-las a implementar as atualizações apropriadas para resolver os problemas.
A Texas Instruments confirmou as vulnerabilidades e lançou patches de segurança para hardware afetado na quinta-feira que estarão disponíveis através dos respectivos OEMs.A Cisco, que também é proprietária da Meraki, lançou o BLE-STACK versão 2.2.2 para três pontos de acesso sem fio Aironet Series (1542 AP, 1815 AP, 4800 AP) e pontos de acesso da série Meraki (MR33, MR30H, MR74, MR53E) na quinta-feira. para endereço CVE-2018-16986.
A Aruba também lançou um patch de segurança para seus pontos de acesso da série Aruba 3xx e IAP-3xx para resolver a falha CVE-2018-7080.No entanto, tanto a Cisco quanto a Aruba observaram que seus dispositivos têm o Bluetooth desativado por padrão.
Nenhum fornecedor está ciente de que alguém esteja explorando ativamente qualquer uma dessas vulnerabilidades zero-day no mundo.
