文章目录
1 总体概述
Armis实验室揭示了一种新的攻击手段,危及主要的移动,桌面和IoT操作系统,包括Android,iOS,Windows和Linux以及使用它们的设备。新的攻击载体被称为“BlueBorne”,因为它通过空中传播并通过蓝牙攻击设备。Armis还披露了八个相关的0-day漏洞,其中四个被列为关键漏洞。BlueBorne允许攻击者控制设备,访问企业数据和网络,穿透安全的“空隙”网络,并将恶意软件横向传播到相邻设备。Armis将这些漏洞报告给负责任的参与者,并与厂商合作。
相关视频:BlueBorne简要概述
1.1 什么是BlueBorne
BlueBorne是黑客可以利用蓝牙连接穿透并完全控制目标设备的攻击载体。BlueBorne影响普通电脑,手机和物联网设备的不断扩大。该攻击不需要将目标设备与攻击者的设备进行配对,甚至不需要将其设置为可发现模式。Armis实验室已经确定了迄今为止的八个零日漏洞,这表明攻击媒介的存在和潜力。Armis认为,在使用蓝牙的各种平台上还有更多漏洞等待发现。正如我们的研究所证明的,这些漏洞是完全可操作的,并且可以被成功利用。BlueBorne攻击可用于执行大范围的攻击,包括远程代码执行以及Man-in-The-Middle攻击。
2 BlueBorne的风险是什么
BlueBorne攻击载体具有多种特性,可以在组合时产生意想不到的效果。通过无线传播,BlueBorne对准了网络防御方面最薄弱的地方 - 也是唯一一个没有安全措施保护的地方。通过无线的方式在设备间传播也会使BlueBorne具有高度传染性。而且,由于蓝牙进程在所有操作系统上都拥有很高的权限,因此利用它可以实际上完全控制设备。
不幸的是,这样的风险非常适合黑客。BlueBorne可以用作任何恶意目的,如网络间谍,数据盗窃,勒索,甚至创建大僵尸网络出来的IoT设备比如 Mirai Botnet ,移动设备( WireX Botnet )。BlueBorne攻击媒介通过穿透与任何其他网络(包括互联网)断开的安全“空隙”网络,超越大多数攻击媒介的能力。
3 BlueBorne的威胁有多大
BlueBorne攻击媒介可能会影响所有具有蓝牙功能的设备,估计目前有超过82亿台设备。蓝牙是用于短距离通信的领先和最广泛的协议,并且被普通计算机和移动设备以及电视,手表,汽车甚至医疗设备等物联网设备中的各种设备所使用。最新发布的报告显示,超过20亿Android,20亿Windows和10亿苹果设备正在使用中。Gartner报告说,目前世界上有80亿个连接或物联网设备,其中许多设备具有蓝牙功能。
4 BlueBorne的新特点
4.1 一种新的空中攻击载体
与目前大多数依赖互联网的攻击不同,BlueBorne攻击通过空中传播。这与Project Zero和Exodus近期在Broadcom Wi-Fi芯片中发现的两个不太广泛的漏洞类似。Wi-Fi芯片中发现的漏洞只影响设备的外围设备,并且需要另一步来控制设备。借助BlueBorne,攻击者可以从一开始就获得完全控制权。而且,蓝牙提供了比WiFi更广泛的攻击面,几乎完全未被研究团体探索,因此包含更多的漏洞。
不幸的是,空中攻击为攻击者提供了许多机会。首先,通过空中传播使得攻击更加具有传染性,并且很容易传播。其次,它允许攻击绕过当前的安全措施,并且仍然未被发现,因为传统方法无法抵御空中威胁。空中攻击还可以让黑客穿透安全的“空隙”内部网络,这意味着他们与任何其他网络断开连接以进行保护。这可能危及工业系统,政府机构和关键基础设施。
最后,与传统的恶意软件或攻击不同,用户不必点击链接或下载可疑文件。用户不需要采取任何行动来启用攻击。
4.2 全面和严重的威胁
BlueBorne攻击载体无需用户交互,与所有软件版本兼容,并且除了蓝牙处于活动状态以外,不需要任何前提条件或配置。与常见的误解不同,支持蓝牙的设备不断搜索来自任何设备的传入连接,而不仅仅是与之配对的连接。这意味着无需配对设备即可建立蓝牙连接。这使得BlueBorne成为近年来发现的最广泛的潜在攻击之一,允许攻击者不被发现。
4.3 下一代蓝牙漏洞
过去,大多数蓝牙漏洞和安全漏洞都源自协议本身,2007年版本2.1已解决该漏洞。所有发现的漏洞严重程度较低,并且不允许远程执行代码。这一转变发生在研究团体转向其他地方,并没有像在其他主要协议中那样审查不同平台的蓝牙协议的实施。
蓝牙是一个难以实施的协议,这使得它容易出现两种漏洞。一方面,供应商可能会按照协议的实施准则逐字执行,这意味着如果在一个平台上发现漏洞,可能会影响其他平台。这些镜像漏洞发生在CVE-2017-8628和CVE-2017-0783(Windows和Android MiTM)上,它们是“同卵双胞胎”。另一方面,在一些地区,蓝牙规范留下了太多的解释空间,导致在各种平台上实现分散的实施方法,使得它们每个都更容易包含自己的漏洞。
这就是为什么包含BlueBorne的漏洞是基于蓝牙协议的各种实现的,并且比近年来更为普遍和严重。我们担心我们发现的漏洞只是冰山一角,而且在其他平台上的协议的不同实现可能包含其他漏洞。
4.4 协议披露
Armis与下列参与者联系以确保对所发现的漏洞采取安全,可靠的应对措施。
- 1 Google - 于2017年4月19日联系,之后共享详细信息。2017年9月4日发布公安更新和安全公告。2017年9月12日协调披露。
- 2 微软 - 于2017年4月19日联系,之后共享细节。更新于7月11日进行。作为协调披露的一部分,2017年9月12日公开披露。
- 3 苹果 - 于2017年8月9日联系。苹果公司目前的版本没有漏洞。
- 4 三星 - 在四月,五月和六月分三次联系。没有收到任何回应。*
- 5 Linux - 于2017年8月15日和17日联系。2017年9月5日,我们连接并向Linux内核安全团队以及Linux发行版安全联系人列表和对话提供了必要的信息。在2017年9月12日前后针对更新进行协调披露。
5 受影响的设备
5.1 Armis披露的漏洞造成的威胁
无论使用何种蓝牙版本,Armis所公布的漏洞都会影响在Android,Linux,Windows和iOS操作系统上运行的所有设备。这意味着在这些操作系统之一上运行的几乎所有计算机,移动设备,智能电视或其他物联网设备都会受到八个漏洞中的至少一个的威胁。这涵盖了全球所有重要的连接设备。
5.2 什么设备受到影响
Android
所有版本的所有Android手机,平板电脑和可穿戴设备(除了仅使用蓝牙低功耗的设备除外)受Android操作系统中的四个漏洞影响,其中两个漏洞允许远程执行代码(CVE-2017-0781和CVE-2017 -0782),其中一个导致信息泄漏(CVE-2017-0785),最后一个则允许攻击者执行Man-in-The-Middle攻击(CVE-2017-0783)。
受影响的设备示例:
- Google Pixel
- 三星Galaxy
- 三星Galaxy Tab
- LG运动手表
- 南瓜汽车音响系统
谷歌已经发布了安全更新补丁并通知其合作伙伴。它已于2017年8月7日提供给Android合作伙伴,并作为2017年9月4 日的“安全更新和公告”的一部分提供。我们建议用户查看该公告以了解最新的最准确信息。Android用户应该确认他们拥有2017年9月9日的安全补丁程序,
Android用户注意事项:要检查您的设备是否处于危险中或者您周围的设备是否处于危险中,请在Google Play上下载Armis BlueBorne扫描仪应用程序。
Windows
自Windows Vista以来的所有Windows计算机都受到“蓝牙菠萝”漏洞的影响,该漏洞允许攻击者执行中间人攻击(CVE-2017-8628)。
微软于2017年7月11日发布了针对所有受支持的Windows版本的安全补丁,并于9月12日星期二发布了协调通知。我们建议Windows用户在此处查看微软发布的最新信息。
Linux
Linux是各种设备的底层操作系统。基于Linux的最具商业化和面向消费者的平台是Tizen操作系统。
所有运行BlueZ的Linux设备都受到信息泄漏漏洞(CVE-2017-1000250)的影响。
从版本2.6.32(2009年7月发布)到版本4.14的所有Linux设备都受到远程代码执行漏洞(CVE-2017-1000251)的影响,
受影响的设备示例:
- 三星Gear S3(Smartwatch)
- 三星智能电视
- 三星家庭Hub(智能冰箱)
针对Linux漏洞的补丁已经推向上游项目。此处修补了信息泄漏漏洞,并且在此处修补了远程代码执行情况, Linux发行版也开始推送更新,请查看您的发行版所做的特定更新。
IOS
iOS 9.3.5及更低版本的所有iPhone,iPad和iPod touch设备以及7.2.2及更低版本的AppleTV设备都受到远程执行代码漏洞(CVE- 2017-14315 )的影响。iOS 10已经减轻了这个漏洞,所以不需要新的补丁来缓解这个漏洞。我们建议您升级到最新的iOS或tvOS。
如果您担心您的设备可能没有打补丁,我们建议禁用蓝牙,并尽量减少其使用,直到您可以确认在设备上发布和安装补丁为止。
- Amazon Echo和Google Home
这些设备被认定为受BlueBorne影响。请点击此处阅读关于BlueBorne对语音激活个人助理的影响的报告。
6 技术概述
BlueBorne攻击载体有几个阶段。首先,攻击者在他或她周围寻找活动的蓝牙连接。即使设备未设置为“可发现”模式,也可以识别设备。接下来,攻击者获取设备的MAC地址,该地址是该特定设备的唯一标识符。通过探测设备,攻击者可以确定受害者正在使用哪个操作系统,并据此调整漏洞利用。然后,攻击者将在相关平台中利用蓝牙协议实施中的漏洞,并获取他需要的访问权限,以执行其恶意目标。在这个阶段,攻击者可以选择创建Man-in-The-Middle攻击并控制设备的通信,或者完全控制设备并将其用于各种网络犯罪目的。
6.1 BlueBorne攻击Android
一旦攻击者确定他的目标是使用Android操作系统,就他可以使用Armis披露的四个漏洞利用该设备,或者他们可以使用单独的漏洞进行Man-in-The-Middle攻击。
信息泄露漏洞(CVE-2017-0785)
Android操作系统中的第一个漏洞揭示了有价值的信息,可帮助攻击者利用下面描述的远程代码执行漏洞之一。在SDP(服务发现协议)服务器中发现该漏洞,该服务器使设备能够识别其周围的其他蓝牙服务。该漏洞允许攻击者向服务器发送一组精心制作的请求,从而使其披露存储器位作为响应。这些信息稍后可以被攻击者用来克服先进的安全措施并控制设备。此漏洞也可能允许攻击者泄漏来自目标设备的加密密钥并窃听蓝牙通信,这种攻击非常类似于心跳加速。
远程执行代码漏洞#1(CVE-2017-0781)
此漏洞驻留在蓝牙网络封装协议(BNEP)服务中,该服务可通过蓝牙连接(共享)实现Internet共享。由于BNEP服务存在缺陷,黑客可能会触发手术记忆损坏,这很容易被利用,并使他能够在设备上运行代码,从而有效地授予他完全的控制权。由于缺乏适当的授权验证,触发此漏洞不需要任何用户交互,验证或配对,因此目标用户完全不知道正在进行的攻击。
远程执行代码漏洞#2(CVE-2017-0782)
此漏洞与上一个类似,但位于更高级别的BNEP服务中 - 个人区域网络(PAN)配置文件 - 负责建立基于IP的两台设备之间的网络连接。在这种情况下,内存损坏较大,但攻击者仍可以利用它来获得对受感染设备的完全控制权。与以前的漏洞类似,也可以在没有任何用户交互,身份验证或配对的情况下触发此漏洞。
蓝牙菠萝(姑且这么翻译) - 中间人攻击(CVE-2017-0783)
中间人攻击(MiTM)攻击允许攻击者拦截和干预所有去往或来自目标设备的数据。要使用Wi-Fi创建MiTM攻击,攻击者既需要特殊设备,也需要从目标设备连接到开放WiFi网络的连接请求。在蓝牙中,攻击者可以使用任何具有蓝牙功能的设备,积极参与目标。该漏洞驻留在蓝牙堆栈的PAN配置文件中,使攻击者能够在受害者设备上创建恶意网络接口,重新配置IP路由并强制设备通过恶意网络接口传输所有通信。这种攻击不需要任何用户交互,认证或配对,使其几乎不可见。
6.2 BlueBorne攻击Windows
我们已经透露了Windows中的一个漏洞,允许攻击者进行Man-in-The-Middle攻击。
关于蓝牙菠萝中间人攻击的描述:
此漏洞与Android操作系统中发现的漏洞相同,并且会影响两个系统,因为它们在实施某些蓝牙协议时共享相同的主体。该漏洞驻留在蓝牙堆栈中,使攻击者能够在受害者的设备上创建恶意网络接口,重新配置IP路由并强制设备通过它传输所有通信。这种攻击不需要任何用户交互,验证或配对,使其几乎不可见。
6.3 BlueBorne攻击Linux
Armis在Linux操作系统中披露了两个漏洞,这些漏洞允许攻击者完全控制受感染的设备。首先是信息泄露漏洞,它可以帮助攻击者确定目标设备使用的确切版本并相应地调整漏洞利用。第二个是堆栈溢出,可以导致完全控制设备。
关于信息泄露漏洞(CVE-2017-1000250)的描述:
与Android中的信息泄漏漏洞类似,此漏洞驻留在SDP服务器中,该服务器负责识别在设备周围使用蓝牙的其他服务。该漏洞允许攻击者向服务器发送一组精心制作的请求,从而使其披露存储器位作为响应。攻击者可以利用这个来暴露蓝牙处理器中的敏感数据,该处理器也可能包含蓝牙通信的加密密钥。这些可以被攻击者用来发起一个非常类似心跳的攻击。
关于BlueZ中的堆栈溢出(CVE-2017-1000251)的描述:
这个漏洞在Linux内核的蓝牙堆栈中找到,它是操作系统的核心。L2CAP(逻辑链路控制和适配协议)中用于连接两台设备的内部缺陷导致内存损坏。攻击者可以使用这种内存损坏来获得设备的完全控制权。
6.4 BlueBorne攻击IOS
Armis发现的这个漏洞已经被Apple披露。由于在iOS版本10和Apple TV版本高于7.2.2的情况下缓解了此漏洞,因此未开发出完整的漏洞利用程序来演示如何利用此漏洞获得对iOS设备的完全控制权。但是,此漏洞仍然会对版本10之前的任何iOS设备造成很大的风险,因为它不需要用户进行任何交互,也不需要目标设备上的任何配置。攻击者可以利用该漏洞在高权限的上下文中获取远程代码执行(蓝牙进程)。
通过Apple的低功耗音频协议执行远程代码执行 (CVE-2017-14315):
这个漏洞是在苹果发明的新协议中发现的,该协议在蓝牙之上运行,称为LEAP(低能量音频协议)。该协议旨在将音频流式传输到低能耗音频外设(如低能耗耳机或Siri Remote)。这使得只有蓝牙低功耗的设备才能流式传输音频并发送音频命令。由于LEAP的实施存在缺陷,可以将大音频命令发送到目标设备并导致内存损坏。由于通过LEAP发送的音频命令没有正确验证,攻击者可以使用内存损坏来获得设备的完全控制权。
7 应对BlueBorne的安全措施
可能通过空中传播和设备间传播的漏洞对任何组织或个人构成巨大威胁。目前的安全措施(包括端点保护,移动数据管理,防火墙和网络安全解决方案)并不旨在识别这些类型的攻击以及相关的漏洞和攻击,因为它们的主要重点是阻止可通过IP连接传播的攻击。
需要新的解决方案来解决新的攻击载体问题,尤其是那些使空中间隙不相关的问题。此外,随着新协议正在为消费者和企业所使用,需要更多关注和研究。随着大量桌面,移动和物联网设备的不断增加,重要的是我们可以确保这些类型的漏洞不被利用。这是Armis在这个新的关联时代的主要使命。
原创翻译,转载请注明出处
英文连接:https://www.armis.com/blueborne/
