Исследователи безопасности из компании Armis сообщили (https://armis.com/bleedingbit/) о выявлении двух критических уязвимостей в BLE (Bluetooth Low Energy) чипах от компании Texas Instruments (CC2640, CC2650 и CC1350), используемых в моделях беспроводных точек доступа Cisco, Meraki и Aruba для предприятий. Уязвимости позволяют выполнить код в контексте BLE-чипа, после чего получить привилегированный доступ к основному программному окружению точки доступа. Атака не требует прохождения аутентификации и может быть совершена при нахождении злоумышленника в пределах досягаемости Bluetooth Low Energy (около 10 метров).BLE в беспроводной точке доступа обычно применяется для подключения IoT-устройств и различного специализированного оборудования (например, медицинских датчиков), а также для отслеживания перемещения посетителей в магазинах. В качестве одного из векторов атаки называется замена прошивки на вариант с вредоносным кодом, который может анализировать трафик (например, перехватывать пароли), атаковать пользователей (например, подставлять вредоносные JavaScript-вставки в незашифрованные HTTP-сеансы) и использоваться в качестве плацдарма для расширения атаки на другие элементы корпоративной сети.
Первая уязвимость (CVE-2018-16986) затрагивает точки доступа
Cisco Aironet (https://tools.cisco.com/security/center/content/CiscoSecurit...) (1540, 18xx, 4800) и Meraki MR (https://meraki.cisco.com/blog/cisco-meraki-customer-advisories/) (30H, 33, 42E, 53E, 74) и позволяет инициировать переполнение буфера в прошивке чипа при обработке определённым образом оформленных широковещательных BLE-сообщений. Эксплуатация уязвимости выполняется в два этапа. На первом этапе отправляется обычный advertising-пакет, который сохраняется BLE-чипом в памяти. На втором этапе отправляется некорректный advertising-пакет с модифицированными флагами в заголовке, обработка которого приводит к выделению буфера недостаточного размера и перетиранию данных за пределами буфера. Первый пакет позволяет сохранить в памяти предназначенный для выполнения вредоносный код, а второй пакет даёт возможность переопределить указатель для передачи управления этому коду. Проблема проявляется только при включении BLE и активации в настройках режима сканирования устройств (отключен по умолчанию).
Вторая уязвимость (CVE-2018-7080) проявляется в беспроводных точках доступа Aruba (https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-00...) (AP-3xx, IAP-3xx, AP-203R, AP-203RP) и вызвана недоработкой в коде загрузки OTA-обновлений прошивок для BLE-чипов TI. Суть уязвимости в использовании предопределённого пароля доступа к функции обновления прошивки, который одинаков на всех устройствах и который можно узнать анализируя трафик во время штатного обновления прошивки или проведя обратный инжиниринг прошивки. Данный пароль можно использовать для организации установки злоумышленником модифицированного обновления прошивки.Компании Cisco (https://tools.cisco.com/security/center/content/CiscoSecurit...), Meraki (https://meraki.cisco.com/blog/cisco-meraki-customer-advisories/) и Aruba (https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-00...) уже выпустили обновления прошивок, блокирующих уязвимость. Компания Texas Instruments устранила проблему в прошивке BLE-STACK 2.2.2 (http://www.ti.com/tool/BLE-STACK-ARCHIVE). Опасность уязвимостей оценивается как незначительная, так как, во-первых, атака возможна только при включении неактивной по умолчанию опции сканирования устройств BLE, а, во-вторых, эксплуатация уязвимости сильно усложнена и требует адаптации эксплоита для каждой модели устройства или разработки модифицированной прошивки.
URL: https://armis.com/bleedingbit/
Новость: https://www.opennet.me/opennews/art.shtml?num=49544
Проблема проявляется только при включении BLE и активации в настройках режима сканирования устройств (отключен по умолчанию).
Первая уязвимость - это очередная новость в духе: "Чтобы злоумышленник получил доступ к оборудованию, пароль должен быть оставлен на столе".
Или например привезли Анонима в больницу, а там злоумышленник и бац, ЭКГ - оК, а пульса нет, вот досада.
> также для отслеживания перемещения посетителей в магазинахкакой тут "пароль на столе"? Типичная задача современных горе-бизнесов - слежка.
для того, надо понимать, ненужно-чип ненужно-ble и поставили в wifi точку, где он был бы абсолютно ненужным, если бы только эта точка раздавала wifi, а не воровала бы маки прохожих.
>> также для отслеживания перемещения посетителей в магазинах
> какой тут "пароль на столе"? Типичная задача современных горе-бизнесов - слежка.
> для того, надо понимать, ненужно-чип ненужно-ble и поставили в wifi точку, где
> он был бы абсолютно ненужным, если бы только эта точка раздавала
> wifi, а не воровала бы маки прохожих.А зачем точке маки прохожих?
Потому что прохожие - бывают разные... есть ненужные им самим даже.. а есть более другие люди...
> А зачем точке маки прохожих?наклонился слишком близко к полке с импортозамещенкой - спалил мак - хто ета у нас, ага, вот и профиль (надеюсь, не надо объяснять, кто и сколько сливает данных с твоей мабилы) - при выходе из супермаркета без покупки - пришлем sms "что ж это ты так, имярек имярекович, дарим тебе скидку на ольховую кору 20%"
Ну а если ты шибкоумный и wifi не просто отключен (модный -современный ведроид и с "отключенным" продолжает собирать информацию об окружающих точках) а совсем-совсем отключен, то есть вот еще шанс, что bt тебе нужен, например, для гарнитуры.
> А зачем точке маки прохожих?Цыска на основе этого статистику собирает, heatmap строит и все такое. Местами даже разумно получается - например, магазин по усредненной статистике может увидеть закутки куда покупатели не заходят.
//а так рандомные маки в помощь. Правда это больше для вафли. Блупуп лучше просто отключить.
> например, магазин по усредненной статистике может увидеть закутки куда покупатели не заходят.это вменяемый менеджер и так видит - или пусть у уборщицы спросит, где не натоптано, если феноменально тyпoй или жопой прирос к креслу подальше от этих мелких людишек.
Но они хотят видеть куда конкретный покупатель заходит, и именно ему что-то впарить. И точность разрешения у поддельных точек еще пять лет назад была сантиметровой - то есть оно не то что закутки, оно видит, наклонился ты к нижней полке, или тянулся к верхней.> а так рандомные маки в помощь
это очень недружественный к батарее метод на ведроидах >4 (которые ломятся куда не надо при выключенном wifi) и ненадежный при этом.
> Блупуп лучше просто отключить.
наушники оставить дома, да и мобилу тоже. Потому что так придется ВСЕ выключить. Потому что любую технологию в современном мире стараются прежде всего приспособить именно для слежки. Периодически вообще забывая, зачем ее изначально придумали.
> это вменяемый менеджер и так видит - или пусть у уборщицы спросит,Ну а тут, понимаешь, гламурный сервис, с картой помещения и раскраской где пользователям нравится, а где нет. И цыске главное бабки за это, так что они не только продали добро, но и доят владельца магазина за сервис регулярно. И ведь сервис как бы даже полезен - товар который не продается ставит магазин на деньги. Так что
> где не натоптано, если феноменально тyпoй или жопой прирос к креслу
> подальше от этих мелких людишек.Не гламурно, да и в должностные обязанности уборщицы не входит сбор статистики по натоптанности.
> Но они хотят видеть куда конкретный покупатель заходит, и именно ему что-то впарить.
Это в случае маков может и не сработать потому что многие устройства нынче рандомизацию практикуют уже.
> И точность разрешения у поддельных точек еще пять лет назад
> была сантиметровой - то есть оно не то что закутки, оно
> видит, наклонился ты к нижней полке, или тянулся к верхней.Да чичас. Возьми калькулятор и посчитай с какой точностью надо хотя-бы время знать для сантиметровой точности. Может быть циска конкчно всем атомные часы выдает и все такое, но если уж на то пошло, даже GPS заточенный на это, с атомными часами на спутнике, все-таки метрами оперирует.
Но в случае heat map пофиг: точность в плюс-минус лапоть на 1 хомяке компенсируется усреднением на толпе хомяков и проблема отпадает. После того как хомяки потусят месяц, среднее будет очень неплохо отражать картину "натоптанности".
> это очень недружественный к батарее метод на ведроидах >4 (которые ломятся куда
> не надо при выключенном wifi) и ненадежный при этом.С чего бы он недружественный? Адаптеру пофиг с какого мака что слать. И ломиться ли при выключенном wifi - там вообще-то в настройках есть.
> наушники оставить дома, да и мобилу тоже.
Наушники в гнездо воткнуть - и надежнее и аккумулятор заряжать не надо.
> Потому что так придется ВСЕ выключить.
> Потому что любую технологию в современном мире стараются прежде всего
> приспособить именно для слежки. Периодически вообще забывая, зачем ее изначально придумали.Бусы и папуасы, однако.
За что платят — про то и бизнесы.
где моя доля, блин? Я тоже хочу воровать маки и нихрена полезного для людишек не делать!
> (отключен по умолчанию)Это может спасти -- "there's no more powerful thing than the default", как у Malx'а когда-то значилось в ~/.sig...
> Первая уязвимость - это очередная новость в духе:
А вот это очередной случай так называемого downplaying.
кто такой Malx?
> кто такой Malx?Malx aka Malvin, старый приятель Лёша Медведев... хорошо бы с ним всё хорошо было.
А подпись та вот здесь видна: https://ntu-kpi.comp.programming.narkive.com/DzXsgrjp/h -- "There is no thing in the world more powerful than default"
"Defaults will prevail". Автора фразы не знаю, но он кэп...
> Первая уязвимость - это очередная новость в духе: "Чтобы злоумышленник получил доступ
> к оборудованию, пароль должен быть оставлен на столе".Вообще-то пароль оставили в коде прошивки, использовали при апдейте, и первые же запустившие снифер получили возможность заапдейтить код на что-нибудь более интересное и работающее на них.
Данный пароль можно использовать для организации установки злоумышленником модифицированного обновления прошивки. - если пароль меняется, то наверное ничего плохого нет.Чтобы если пришло много сразу устройств, сразу можно было бы обновить, а потом только менять пароль.
Или я что-то неправильно понял?
В D-Link'ах тоже пароль "admin" меняется, вернее, поменять можно. Однако, на практике, плохого наблюдается много.
Надо, пока не поменяют умолчальный пароль, не позволять включать радиоканал.
Ну дык посмотри как openwrt сделан. При первом входе в морду - извольте задать пароль. А вафля по дефолту отключена, так что в морду вы все же зайдете. И менеджмент типа ssh только из LAN. И только после того как пароль зададут....а теперь попробуйте что-нибудь на основе openwrt раздолбать так же как длинк :)
> Надо, пока не поменяют умолчальный пароль, не позволять включать радиоканал.не надо - как я еще, по твоему, этим м..ам буду выключать радиоканал?
> не надо - как я еще, по твоему, этим м..ам буду выключать радиоканал?Инженерный пароль нагуглишь.
Читайте внимательно - Ваш корреспондент написал вЫключить. :)Другими словами он намекает, что после того как его включат, пароль никто запомнить не удосужится. :)
Я не уверен что использование блютуза в мед оборудовании хорошая идея. У меня колонка через раз цепляется, а мыша глючила так что пришлось юзать провод
увы, многие вещи происходят под давлением бизнеса.
> увы, многие вещи происходят под давлением бизнеса....точнее, "жадность и непрофессионализм" (ц) АЕН
сейчас как раз работаю на embedded проекте с глубокой интеграцией BLE, могу сказать что протокол достаточно продуман что-бы на нём при желании делать серьёзные вещи, но спеки достаточно запутанные чтобы по глупости легко всё изгадить.
> протокол достаточно продуман
> спеки достаточно запутанныеВы не находите что это - взаимоисключающие параграфы? За блупуп в эмбедовке - надо отрывать все что отрывается. Потому что аудит мутной прошивки блюпуп чипа вы не сделаете даже если б и захотели.
Есть задачи когда хренова туча проводов тянущаяся к пациенту очень сильно мешает. А ему ещё шевелиться или его ворочать надо.
Не уязвимости, а закладки.
Тенденция со всеми этими IoT и системами на кристалле с прошивками меня не радует, жаль что времена простых электротехнических решений не вернуть. Вопрос в том когда неконтролируемая возрастающая сложность доведёт электронную промышленность до состояния лопнутого пузыря.
там уже давно состояние дырявой бочки, и все привыкли, поэтому до лупнутого пузыря оно никогда не дойдёт
Видимо нас ждёт ещё один SDR, но уже из bluetooth чипов
предыдущий был nexmon
> Видимо нас ждёт ещё один SDR, но уже из bluetooth чиповЕсли все люди планеты одновременно возьмут и подпрыгнут, результатом будет землетрясение очень приличной магнитуды. Ну а вот тут "одновременно подпрыгнуть" даже технически реализуемо :)
Потому как чипы ccXXXX редкостная шляпа. И от корявого проприетарного кода другого и не ожидалось.
А что, есть хотя бы один BLE чип с официально поддерживаем OpenSource стеком? Я не видел.
Впрочем с тем, что BLE-ные CC редкостная шляпа соглашусь. Пробовали на нём делать устройство но вовремя откащались и перешли на чипы другого производителя.
ЗЫ: но не надо все CC под одну гребёнку. Например семейтво 1120/1175 очень крутые чипы.
А всего-то надо было изолировать чип... Ну то есть продавать маленькую BLE-приблуду с ethernet вместе с точкой. Но не эмтетично, да.
> А всего-то надо было изолировать чип...А что значит - изолировать? В тот чип с эзернетом зальют код, он сможет по эзернету свои пакетики слать. И по блюпупу. И вообще делать все что чип и интерфейс с ним позволяет, вплоть до какого-нибудь continious TX в надежде заспамить эфир (типа DoS атака, только на 2.4 ГГц радио вокруг).