BLEEDINGBIT – Due nuove vulnerabilità Bluetooth espongono le aziende ad attacchi remoti

BLEEDINGBIT
Due nuove vulnerabilità Bluetooth
espongono le aziende ad attacchi remoti.

Due nuove vulnerabilità critiche, denominate BLEEDINGBIT, sono state scoperte dai ricercatori della società di sicurezza “Armis” nei chip Bluetooth Low Energy (BLE) realizzati da “Texas Instruments”. I chip BLE (Bluetooth 4.0) sono dispositivi a basso consumo energetico progettati per applicazioni che non necessitano di scambiare grosse quantità di dati come ad esempio quelle utilizzate nel settore sanitario (e che controllano pompe per insulina e pacemaker), IoT, e quello sportivo, coprendo una distanza di circa 100 metri.

I chip vulnerabili sono incorporati in milioni di dispositivi e punti di accesso di rete che forniscono il WiFi alle reti aziendali prodotte da CiscoMeraki e Aruba Networks, cioè leader del networking e che rappresentano circa il 70% dei punti di accesso wireless.

Le vulnerabilità scoperte sono particolarmente critiche e, se sfruttate, permetterebbero ad un attaccante remoto di eseguire codice arbitrario sul dispositivo assumendone il pieno controllo senza necessità di autenticazione. E’ vero che un attaccante dovrebbe trovarsi a breve distanza dal dispositivo vulnerabile per aver successo, ma è altresì vero che qualora l’attaccante abbia ottenuto il controllo del dispositivo, può in pochi minuti saltare sugli altri dispositivi della rete aziendale, installare backdoor persistenti e consentirsi a quel punto l’accesso da qualsiasi parte del mondo in qualsiasi momento. E il tutto in modo ignaro all’azienda attaccata.

Le due vulnerabilità BLEEDINGBITCVE-2018-16986 e CVE-2018-7080, riguardano diversi chip Texas Instruments (TI) e questi sono elencati, insieme ai dispositivi che li incorporano, nella tabella che riportiamo sotto (fonte Armis).

CVE-2018-16986TI chips vulnerabiliCC2640 (non-R2) con BLE-STACK
Versione 2.2.1 o più recenteCC2650 con BLE-STACK
Versione 2.2.1 o più recenteCC2640R2F con SimpleLink CC2640R2 SDK
Versione 1.00.00.22 (BLE-STACK 3.0.0)CC1350 con SimpleLink CC13x0 SDK
Versione 2.20.00.38 (BLE-STACK 2.3.3) o più recenteAccess point vulnerabiliCisco 1800i Aironet Access PointsCisco 1810 Aironet Access PointsCisco 1815i Aironet Access PointsCisco 1815m Aironet Access PointsCisco 1815w Aironet Access PointsCisco 4800 Aironet Access PointsCisco 1540 Aironet Series Outdoor Access PointMeraki MR30H APMeraki MR33 APMeraki MR42E APMeraki MR53E APMeraki MR74
CVE-2018-7080TI chips vulnerabilicc2642rcc2640r2cc2640cc2650cc2540cc2541Access point vulnerabiliAP-3xx and IAP-3xx series access pointsAP-203RAP-203RPArubaOS 6.4.4.x prior to 6.4.4.20ArubaOS 6.5.3.x prior to 6.5.3.9ArubaOS 6.5.4.x prior to 6.5.4.9ArubaOS 8.x prior to 8.2.2.2ArubaOS 8.3.x prior to 8.3.0.4

Va precisato che la vulnerabilità CVE-2018-7080 può essere sfruttata solo se il dispositivo vulnerabile ha abilitato la funzione di download del firmware “Over the Air” (OAD). Questa vulnerabilità potrebbe essere sfruttata fornendo un aggiornamento dannoso all’Access Point che sovrascriva il suo firmware. I ricercatori hanno spiegato che tutti gli Access Point di Aruba condividono la stessa password OAD che può essere sniffata dall’attaccante durante un aggiornamento legittimo oppure facendo reverse engineering del dispositivo. E’ stato rilasciato a tal proposito un Advisor da Aruba.

Al momento non siamo comunque a conoscenza di sfruttamenti di queste vulnerabilità.

MITIGATION

Armis a Giugno 2018 ha informato dei difetti tutte le case produttrici interessate, aiutandole ad implementare le soluzioni adeguate.

Texas Instruments ha confermato la vulnerabilità e rilasciato patch per l’hardware interessato che saranno disponibili tramite i rispettivi OEM. Di recente ha rilasciato la versione 2.2.2 del protocollo BLE-STACK per risolvere le vulnerabilità CVE-2018-16986.

E sia Cisco che Aruba hanno rilasciato patch di sicurezza o spiegato come mitigare le vulnerabilità per i propri prodotti.

Il consiglio che diamo è quello, come sempre, di tenere aggiornati tutti i Sistemi Operativi e tutti i device, compresi quelli IoT e qualsiasi che si connetta ad internet o ad altri dispositivi tramite wifi. Non è sbagliato essere “paranoici” con gli aggiornamenti di sicurezza.

Gli attacchi contro i dispositivi WiFi stanno aumentando in quanto le aziende sempre più fanno utilizzo di questa tecnologia. Consigliamo di tenere spento il WiFi dei dispositivi quando non vengono utilizzati e di usare password forti cambiandole spesso. Controllare inoltre periodicamente chi è connesso alla rete WiFi aziendale per individuare eventuali intrusi.

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub