Pesquisadores de segurança revelaram detalhes de duas vulnerabilidades críticas em chips Bluetooth Low Energy (BLE) embutidos em milhões de pontos de acesso e dispositivos de rede usados por empresas em todo o mundo.
Apelidado de BleedingBit, o conjunto de duas vulnerabilidades ode permitir que atacantes remotos executem código arbitrário e assumam o controle total de dispositivos vulneráveis sem autenticação, incluindo dispositivos médicos, como bombas de insulina e marca-passos, bem com dispositivos de pontos de vendas e IoT.
A descoberta foi realizada por pesquisadores de segurança israelense Armis, as vulnerabilidades existem em chips de pilha Bluetooth Low Energy (BLE) fabricados pela Texas Instruments (TI) que estão sendo utilizados pela Cisco, Meraki e Aruba em sua linha de produtos corporativos.
A Armis é a mesma empresa de segurança que no ano passado descobriu o BlueBorne, um conjunto de nove falhas Zero Day (Dia Zero) relacionados ao Bluetooth nos dispositivos Android, Windows, Linux e iOS afetando bilhões de dispositivos globalmente, incluindo smartphones, laptops, Tvs, relógios e sistemas de áudio automotivo.
A primeira vulnerabilidade de BleedingBit RCE em Chips BLE (CVE-2018-16986)
A primeira vulnerabilidade, identificada como CVE-2018-16986, existe nos chips TI CC2640 e CC2650 E afeta muitos pontos de acesso Wi-Fi da Cisco e da Meraki. O bug aproveita uma brecha na maneira com os chips Bluethooth analisam os dados recebidos.
De acordo com os pesquisadores, enviar mais tráfegos para um chip BLE do que ele supostamente faz com que a corrupção da memória, conhecida como ataque de estou de buffer (buffer overflow attack), possa permitir que um invasor execute códigos mal-intencionados em um dispositivo afetado.
Primeiro, o invasor envia múltiplas mensagens de transmissão BLE benignas, chamadas de pacotes de publicidade, que serão armazenadas na memória do chip BLE vulnerável no dispositivo alvo, explicaram os pesquisadores.
Em seguida, o invasor envia pacote de estouro, que é um pacote de publicidade padrão com uma alteração sutil – um bit específico em seu cabeçalho é ativado em vez de estar desativado. Esse bit faz com que o chip guarde as informações do pacote em um espaço muito maior que realmente precisa, provocando um estou de memória crítica no processo.
Vale notar-se que o ataque inicial requer que um cracker/hacker esteja na proximidade física de um dispositivo de destino, mas uma vez comprometido, ele pode controlar o ponto de acesso, permitindo que ele intercepte o tráfego da rede, instale um backdoor persistente o chip ou lance mais ataques em outros dispositivos que estejam conectados na Internet.
A segunda vulnerabilidade (CVE-2018-7080)
A segunda vulnerabilidade, identificada como CVE-2018-7080, reside nos chips TI CC2642R2, CC2640R2, CC2640, CC2650, CC2541 e afeta o ponto de acesso Wi-Fi da série 300 da Aruba.
Essa vulnerabilidade decorre de um problema com o recurso de atualizações de firmware da Texas Instrumets em chips BL chamado Over the Air Firmware Download (OAD).
Como todos os pontos de acesso da Aruba compartilham a mesma senha OAD que pode ser “obtida por meio de uma atualização legítima ou pelo firmware BLE da Aruba de engenharia reversa”, um invasor pode fornecer uma atualização maliciosa ao ponto de acessar o alvo e reescrever seu sistema operacional, ganhando controle sobre o dispositivo.
Por padrão, o recurso OAD não é configurado automaticamente para endereçar atualizações de firmware seguras. Ele permite um mecanismo de atualização simples do firmware em execução no chip BLE em uma transação GATT”, explicaram os pesquisadores.
“Um invasor… pode se conectar ao chip BLE em um ponto de acesso vulnerável e fazer o upload de um firmware malicioso contendo o próprio código do invasor, permitindo uma reescrita completa do sistema operacional, ganhando controle total sobre ele”, disseram os pesquisadores.
Informações relacionadas ao Patch
A Armis descobriu as vulnerabilidades do BleedingBit no início deste ano e relatou responsavelmente todos os fornecedores afetados em junho de 2018, e depois também contatou e trabalhou com as empresas afetadas para ajudá-las a implementar para resolver os problemas.
A Texas Instruments confirmou as vulnerabilidades e lançou patches de segurança para os hardwares afetados na quinta-feira que estarão disponíveis através dos respectivos OEMs.
A Cisco, que também é proprietária da Meraki, lançou o BLE-STACK versão 2.2.2 para três pontos de acesso sem fio Aironet Series (1542 AP, 1815 AP, 4800 AP) e pontos de acesso da série Meraki (MR33, MR30H, MR74, MR53E) na quinta-feira, com o nome de CVE-2018-16986.
A Aruba também lançou um patch de segurança para seus pontos de acesso da série Aruba 3xx e IAP-3xx para resolver a falha CVE-2018-7080.
No entanto, tanto a Cisco quanto a Aruba observaram que seus dispositivos possuem por padrão o Bluetooth desativado. Nenhum fornecedor está ciente de que alguém esteja explorando ativamente qualquer uma dessas vulnerabilidades.