en

en

Armis Labs a révélé un nouveau vecteur d'attaque mettant en danger les principaux systèmes d'exploitation mobiles, de bureau et IoT, y compris Android, iOS, Windows et Linux, ainsi que les appareils qui les utilisent. Le nouveau vecteur est surnommé "BlueBorne", car il se propage dans l'air (aéroporté) et attaque les appareils via Bluetooth. Armis a également divulgué huit vulnérabilités connexes de type " zero-day ", dont quatre sont classées comme critiques. BlueBorne permet aux attaquants de prendre le contrôle des appareils, d'accéder aux données et aux réseaux de l'entreprise, de pénétrer dans les réseaux sécurisés et de répandre latéralement les logiciels malveillants sur les appareils adjacents. Armis a signalé ces vulnérabilités aux acteurs responsables et travaille avec eux au fur et à mesure que les correctifs sont identifiés et diffusés.

 

Qu'est-ce que BlueBorne ?

1

BlueBorne est un vecteur d'attaque par lequel les pirates peuvent utiliser les connexions Bluetooth pour pénétrer et prendre le contrôle total des dispositifs ciblés. BlueBorne affecte les ordinateurs ordinaires, les téléphones mobiles et le domaine en expansion des appareils IoT. L'attaque n'exige pas que le dispositif ciblé soit apparié au dispositif de l'attaquant, ni même qu'il soit mis en mode découverte. Armis Labs a identifié jusqu'à présent huit vulnérabilités à jour zéro, qui indiquent l'existence et le potentiel du vecteur d'attaque. Armis croit que de nombreuses autres vulnérabilités attendent d'être découvertes sur les différentes plates-formes utilisant Bluetooth. Ces vulnérabilités sont pleinement opérationnelles et peuvent être exploitées avec succès, comme le démontre notre recherche. Le vecteur d'attaque BlueBorne peut être utilisé pour mener une large gamme d'infractions, y compris l'exécution de code à distance ainsi que les attaques Man-in-The-Middle.

 

Quel est le risque ?

Le vecteur d'attaque BlueBorne a plusieurs qualités qui peuvent avoir un effet dévastateur lorsqu'elles sont combinées. En se propageant dans l'air, BlueBorne cible le point le plus faible de la défense des réseaux - et le seul qu'aucune mesure de sécurité ne protège. La propagation d'un appareil à l'autre à travers l'air rend également BlueBorne très infectieux. De plus, puisque le processus Bluetooth a des privilèges élevés sur tous les systèmes d'exploitation, son exploitation permet un contrôle quasi total de l'appareil.

Malheureusement, cet ensemble de capacités est extrêmement désirable pour un hacker. BlueBorne peut servir n'importe quel objectif malveillant, comme l'espionnage en ligne, le vol de données, les logiciels de rançon et même la création de grands botnets à partir d'appareils IoT comme le Mirai Botnet ou les appareils mobiles comme le récent WireX Botnet. Le vecteur d'attaque BlueBorne surpasse les capacités de la plupart des vecteurs d'attaque en pénétrant dans des réseaux sécurisés " air-gapped " qui sont déconnectés de tout autre réseau, y compris Internet.

 

Quelle est l'ampleur de la menace ?

Le vecteur d'attaque BlueBorne peut potentiellement affecter tous les appareils dotés de capacités Bluetooth, estimées à plus de 8,2 milliards d'appareils aujourd'hui. Bluetooth est le protocole le plus répandu et le plus répandu pour les communications à courte portée, et est utilisé par des appareils de toutes sortes, depuis les ordinateurs ordinaires et les appareils mobiles jusqu'aux appareils tels que les téléviseurs, les montres, les voitures et même les appareils médicaux. Les derniers rapports publiés montrent que plus de 2 milliards d'Android, 2 milliards de Windows et 1 milliard d'appareils Apple sont utilisés. Gartner rapporte qu'il y a 8 milliards d'appareils connectés ou IoT dans le monde aujourd'hui, dont beaucoup ont le Bluetooth.

 

Quoi de neuf à propos de BlueBorne ?

Un nouveau vecteur d'attaque aéroporté

BlueBorne nous préoccupe en raison de son mode de fonctionnement. Contrairement à la majorité des attaques d'aujourd'hui, qui dépendent d'Internet, une attaque BlueBorne se propage dans les airs. Cela fonctionne de la même manière que les deux vulnérabilités moins étendues découvertes récemment dans une puce Wi-Fi Broadcom par le Projet Zéro et Exodus. Les vulnérabilités trouvées dans les puces Wi-Fi n'affectent que les périphériques de l'appareil et nécessitent une autre étape pour prendre le contrôle de l'appareil. Avec BlueBorne, les attaquants peuvent prendre le contrôle total dès le début. De plus, Bluetooth offre une surface d'attaque plus large que le WiFi, presque entièrement inexplorée par la communauté des chercheurs et contient donc beaucoup plus de vulnérabilités.

Les attaques aériennes, malheureusement, fournissent un certain nombre d'opportunités pour l'attaquant.

  • Premièrement, le fait de se propager dans l'air rend l'attaque beaucoup plus contagieuse et lui permet de se propager avec un minimum d'efforts.
  • Deuxièmement, elle permet à l'attaque de contourner les mesures de sécurité actuelles et de ne pas être détectée, car les méthodes traditionnelles ne protègent pas contre les menaces aériennes. Les attaques aéroportées peuvent également permettre aux pirates du web de pénétrer dans des réseaux internes sécurisés qui sont " Air Gapped ", ce qui signifie qu'ils sont déconnectés de tout autre réseau à des fins de protection. Cela peut mettre en danger les systèmes industriels, les organismes gouvernementaux et les infrastructures essentielles.
  • Enfin, contrairement aux logiciels malveillants traditionnels ou aux attaques, l'utilisateur n'a pas besoin de cliquer sur un lien ou de télécharger un fichier douteux. Aucune action de l'utilisateur n'est nécessaire pour activer l'attaque

Une menace globale et grave

Le vecteur d'attaque BlueBorne n'exige aucune interaction de l'utilisateur, est compatible avec toutes les versions de logiciels et ne nécessite aucune condition préalable ou configuration, à l'exception de l'activation du Bluetooth. Contrairement aux idées fausses courantes, les appareils compatibles Bluetooth sont constamment à la recherche de connexions entrantes à partir de n'importe quel appareil, et pas seulement ceux avec lesquels ils ont été appariés. Cela signifie qu'une connexion Bluetooth peut être établie sans qu'il soit nécessaire d'apparier les appareils. Cela fait de BlueBorne l'une des attaques potentielles les plus larges trouvées ces dernières années, et permet à un attaquant de frapper sans être détecté.

Vulnérabilités Bluetooth de la prochaine génération

Dans le passé, la plupart des vulnérabilités Bluetooth et des failles de sécurité provenaient de problèmes avec le protocole lui-même, qui ont été résolus dans la version 2.1 en 2007. Presque toutes les vulnérabilités trouvées depuis étaient de faible gravité et ne permettaient pas l'exécution de code à distance. Cette transition s'est produite lorsque la communauté de recherche a tourné les yeux ailleurs et n'a pas examiné de près les mises en œuvre du protocole Bluetooth dans les différentes plates-formes, comme elle l'a fait avec d'autres protocoles majeurs.

Bluetooth est un protocole difficile à mettre en œuvre, ce qui le rend vulnérable à deux types de vulnérabilités. D'une part, les fournisseurs sont susceptibles de suivre mot à mot les directives d'implémentation du protocole, ce qui signifie que lorsqu'une vulnérabilité est trouvée sur une plate-forme, elle peut en affecter d'autres. Ces vulnérabilités miroir se sont produites avec CVE-2017-8628 et CVE-2017-0783 (Windows & ; Android MiTM) qui sont des " jumeaux identiques ". D'autre part, dans certains domaines, les spécifications Bluetooth laissent trop de place à l'interprétation, ce qui entraîne une fragmentation des méthodes de mise en œuvre dans les différentes plates-formes, ce qui rend chacune d'entre elles plus susceptible de contenir une vulnérabilité qui lui est propre.

C'est pourquoi les vulnérabilités qui composent BlueBorne sont basées sur les différentes implémentations du protocole Bluetooth, et sont plus répandues et plus sévères que celles des dernières années. Nous sommes préoccupés par le fait que les vulnérabilités que nous avons trouvées ne sont que la pointe de l'iceberg et que les mises en œuvre distinctes du protocole sur d'autres plates-formes peuvent contenir des vulnérabilités supplémentaires.

Une communication coordonnée de l'information

Armis a tendu la main aux acteurs suivants afin d'assurer une réponse sûre, sécuritaire et coordonnée aux vulnérabilités identifiées.

  • Google - Contacté le 19 avril 2017, après quoi les détails ont été partagés. Diffusion de la mise à jour de la sécurité publique et du bulletin de sécurité le 4 septembre 2017. Divulgation coordonnée le 12 septembre 2017.
  • Microsoft - Contacté le 19 avril 2017, après quoi les détails ont été partagés. Des mises à jour ont été faites le 11 juillet. Divulgation publique le 12 septembre 2017 dans le cadre de la divulgation coordonnée.
  • Apple - Contacté le 9 août 2017. Apple n'avait aucune vulnérabilité dans ses versions actuelles.
  • Samsung - Contact à trois occasions distinctes en avril, mai et juin. Aucune réponse n'a été reçue des services d'approche.
  • Linux - Contacté le 15 et 17 août 2017. Le 5 septembre 2017, nous avons connecté et fourni les informations nécessaires à l'équipe de sécurité du noyau Linux et à la liste des contacts de sécurité des distributions Linux et les conversations qui ont suivi. Cibler les mises à jour pour le ou vers le 12 septembre 2017 en vue d'une divulgation coordonnée.

Quels périphériques sont affectés pour l'utilisateur Linux ?

Linux est le système d'exploitation sous-jacent pour une large gamme d'appareils. La plate-forme la plus commerciale et la plus orientée vers le consommateur basée sur Linux est le système d'exploitation Tizen.

Tous les périphériques Linux exécutant BlueZ sont affectés par la vulnérabilité de fuite d'information (CVE-2017-1000250).
Tous les périphériques Linux à partir de la version 3.3-rc1 (sortie en octobre 2011) sont affectés par la vulnérabilité d'exécution du code à distance (CVE-2017-1000251).
Exemples de dispositifs impactés:
Samsung Gear S3 (Smartwatch)
Samsung Smart TVs
Samsung Family Hub (Réfrigérateur intelligent)
Des informations sur les mises à jour Linux seront fournies dès qu'elles seront en ligne.

Attaque BlueBorne sur Linux

Armis a révélé deux vulnérabilités dans le système d'exploitation Linux qui permettent aux attaquants de prendre le contrôle complet des dispositifs infectés. La première est une vulnérabilité de fuite d'information, qui peut aider l'attaquant à déterminer la version exacte utilisée par le dispositif ciblé et à ajuster son exploit en conséquence. Le second est un débordement de pile avec peut conduire à un contrôle total d'un appareil.

  • Vulnérabilité aux fuites d'information (CVE-2017-1000250):Similar à la fuite d'informations de vulnérabilité dans Android, cette vulnérabilité réside dans le serveur SDP responsable de l'identification d'autres services utilisant Bluetooth autour de l'appareil. La faille permet à l'attaquant d'envoyer un ensemble de requêtes au serveur, ce qui l'amène à divulguer des bits de mémoire en réponse. Ceci peut être utilisé par un attaquant pour exposer les données sensibles du processus Bluetooth qui peuvent également contenir des clés de cryptage des communications Bluetooth. Ceux-ci peuvent être utilisés par l'attaquant pour déclencher une attaque qui ressemble beaucoup à un saignement du cœur.
  • Un débordement de pile dans BlueZ (CVE-2017-1000251): Cette vulnérabilité a été trouvée dans la pile Bluetooth du noyau Linux, qui est le cœur même du système d'exploitation. Une faille interne dans le L2CAP (Logical Link Control and Adaptation Protocol) qui est utilisé pour se connecter entre deux appareils provoque une corruption de la mémoire. Un attaquant peut utiliser cette corruption de mémoire pour prendre le contrôle total de l'appareil.

Statut de correction

Les vulnérabilités de sécurité BlueBorne ont été corrigées dans Deepin 15.4.1 updates(20170915).

Nous vous recommandons de mettre à jour le système pour obtenir les correctifs pour corriger les vulnérabilités.

 

reference:

https://security-tracker.debian.org/tracker/CVE-2017-1000250

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=875633

https://www.armis.com/blueborne/

 

en_s

2 Comments

Laisser un commentaire