در معرض قرار گرفتن میلیون‌ها دستگاه به حملات از راه دور به علت دو نقص جدید در تراشه‌های بلوتوث

محققان امنیتی جزئیات دو آسیب‌پذیری حیاتی در تراشه‌های کم انرژی بلوتوث^(۱) را افشا کردند که در میلیون‌ها دستگاه شبکه و access point که توسط سازمان‌های بزرگ در تمام جهان استفاده می‌شوند، قرار دارند.

این دو آسیب‌پذیری‌ که BleedingBit نامیده شدند، می‌توانند به مهاجمان از راه دور اجازه دهند تا کدهای دلخواه را اجرا کنند و کنترل کامل دستگاه‌های آسیب‌پذیر شامل دستگاه‌های پزشکی مانند پمپ انسولین، دستگاه‌های تنظیم‌کننده ضربان قلب و تمامی دستگاه‌های اینترنت اشیاء را بدون احراز هویت در اختیار گیرند.

محققان امنیتی شرکت Armis این آسیب‌پذیری‌ها را در تراشه‌های پشته کم انرژی بلوتوث کشف کرده‌اند که توسط Texas Instruments ساخته و توسط سیسکو، Meraki و Aruba در خط تولید محصولاتشان استفاده می‌شود.

Armis همان شرکت امنیتی است که در سال گذشته BlueBorne را کشف کرد[۱] که مجموعه‌ای از نقص‌های روز صفر مربوط به بلوتوث را در اندروید، ویندوز، لینوکس و iOS کشف کرد که بر روی میلیاردها دستگاه ازجمله گوشی‌های هوشمند، لپ‌تاپ‌ها، تلویزیون‌ها، ساعت‌ها و سیستم‌های صوتی اتومبیل تأثیر گذاشت.

اولین آسیب‌پذیری RCE از نوع BleedingBit در تراشه‌های BLE به نام CVE-2018-16986

اولین آسیب‌پذیری که CVE-2018-16986 نامیده شده است، در تراشه‌های TI CC2640 و CC2650 وجود دارد و بر روی بسیاری از access pointهای وایرلس سیسکو و Meraki تأثیرگذار است. این اشکال در یک راه گریز^(۲) در روشی که تراشه‌های بلوتوث داده‌های ورودی را تجزیه‌وتحلیل می‌کنند، قرار دارد.

به گفته محققان، ارسال ترافیک بیشتر از مقداری که می‌تواند مدیریت کند به یک تراشه BLE موجب تخریب حافظه خواهد شد، که معمولاً به‌عنوان یک حمله سرریز بافر شناخته می‌شود، که می‌تواند به یک مهاجم اجازه دهد که کد موذی را بر روی یک دستگاه آسیب‌دیده اجرا کند.

محققان در این رابطه توضیح دادند: “ابتدا مهاجم چندین پیام خوش‌آمد گویی BLE را ارسال می‌کند، که بسته‌های تبلیغاتی نامیده می‌شود، که در حافظه تراشه BLE آسیب‌پذیر در دستگاه مورد هدف قرار می‌گیرد.”

“در مرحله بعد، مهاجم بسته‌ی سرریز را ارسال می‌کند، که یک بسته‌ی تبلیغاتی استاندارد با یک تغییر ظریف است؛ یک بیت خاص در header آن به‌جای خاموش، روشن شده است. این بیت باعث می‌شود که این تراشه برای این اطلاعات فضایی را بسیار بزرگ‌تر از آن چیزی که واقعاً نیاز دارد، به آن اختصاص دهد که باعث سرریز حافظه حیاتی در این فرایند می‌شود.”

لازم به ذکر است که حمله اولیه نیاز به یک هکر در نزدیکی فیزیکی به دستگاه مورد هدف دارد، اما هنگامی‌که به خطر افتاد، آن‌ها می‌توانند access point را کنترل کنند که به آن‌ها اجازه می‌دهد تا ترافیک شبکه را استراق سمع کنند، یک در پشتی را بر روی تراشه نصب کنند، یا حملات بیشتری را در برابر سایر دستگاه‌های متصل به اینترنت آغاز کنند.

دومین آسیب‌پذیری OAD RCE از نوع BleedingBit در تراشه‌های BLE به نام CVE-2018-7080

آسیب‌پذیری دوم که به نام CVE-2018-7080 شناخته می‌شود، در تراشه‌های CC2642R2 ،CC2640R2 ،CC2640 ،CC2650 ،CC2540 و CC2541  ساخته‌شده توسط Texas Instruments قرار دارد و بر روی access point سری ۳۰۰ شرکت Aruba نیز تأثیر می‌گذارد.

این آسیب‌پذیری ناشی از مشکلی در ویژگی به‌روزرسانی firmware تراشه‌های BLE شرکت Texas Instruments به نام OAD⁽³⁾ است.

ازآنجایی‌که تمام access pointهای شرکت Aruba یک رمز عبور OAD مشابه دارند؛ توسط استراق سمع یک به‌روزرسانی قانونی یا توسط مهندسی معکوس firmware تراشه BLE شرکت Aruba، یک مهاجم می‌تواند یک به‌روزرسانی موذی را در access point مورد هدف پیاده‌سازی کند و توسط بازنویسی سیستم‌عامل آن، کنترل کامل دستگاه را در اختیار گیرد.

محققان توضیح دادند: “به‌طور پیش‌فرض، ویژگی OAD به‌طور خودکار برای به‌روزرسانی‌های ایمن firmware پیکربندی نشده است. این امر اجازه می‌دهد تا یک مکانیزم به‌روزرسانی ساده‌ی firmware بر روی تراشه BLE از طریق انتقال GATT اجرا شود.”

محققان گفتند[۲]: “یک مهاجم می‌تواند به یک تراشه BLE از طریق یک access point آسیب‌پذیر متصل شود و یک سیستم‌عامل موذی حاوی کد مهاجم را بارگذاری کند و به‌طور مؤثر اجازه می‌دهد تا سیستم‌عامل خود را کاملاً بازنویسی کرده و درنتیجه کنترل کامل آن را به دست آورد.”

مربوط به وصله این آسیب‌پذیری‌ها

شرکت Armis در اوایل سال جاری آسیب‌پذیری‌های BluelingBit را کشف کرد و به تمام فروشندگان آسیب‌دیده در ماه ژوئن ۲۰۱۸ گزارش داد و سپس با شرکت‌های آسیب‌دیده تماس گرفت و به آن‌ها کمک کرد تا به‌روزرسانی‌های مناسب را برای رسیدگی به این آسیب‌پذیری‌ها انجام دهند.

Texas Instruments این آسیب‌پذیری‌ها را تائید کرده[۳] و وصله‌های امنیتی را برای سخت‌افزارهای موجود در روز ۱ نوامبر ۲۰۱۸ منتشر کرد که از طریق OEMهای مربوطه در دسترس خواهند بود.

سیسکو، که همچنین مالک Meraki است[۴]، نسخه جدید BLE-STACK یعنی نسخه ۲٫۲٫۲ را برای سه سری از access pointهای بی‌سیم خود یعنی ۱۵۴۲ AP ،۱۸۱۵ AP و ۴۸۰۰ AP) و access point های Meraki یعنی MR33 ،MR30H ،MR74 و MR53E در روز ۱ نوامبر ۲۰۱۸ برای برطرف کردن آسیب‌پذیری CVE-2018-16986 منتشر کرد[۵].

Aruba همچنین یک وصله امنیتی برای access pointهای سری ۳xx و IAP-3xx خود برای برطرف کردن نقص CVE-2018-7080 منتشر کرده است.

بااین‌حال، هر دو شرکت سیسکو و Aruba اشاره کردند که دستگاه‌هایشان به‌طور پیش‌فرض بلوتوث را غیرفعال می‌کنند. هیچ تولیدکننده‌ای از کسی که در سطح اینترنت از هر یک از این آسیب‌پذیری‎های روز صفر بهره‌برداری کرده باشد، اطلاعی ندارد.

منابع

[۱] https://apa.aut.ac.ir/?p=3012

[۲] https://armis.com/bleedingbit

[۳] http://www.ti.com/tool/BLE-STACK

[۴] https://meraki.cisco.com/blog/cisco-meraki-customer-advisories

[۵] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181101-ap

[۶] https://thehackernews.com/2018/09/linux-kernel-vulnerability.html

(۱) Bluetooth Low Energy (BLE)
(۲) loophole
(۳) Over the Air firmware Download