BLEEDINGBIT - Due nuove vulnerabilità Bluetooth espongono le aziende ad attacchi remoti.

BLEEDINGBIT
Due nuove vulnerabilità Bluetooth
espongono le aziende ad attacchi remoti.

Due nuove vulnerabilità critiche, denominate BLEEDINGBIT, sono state scoperte dai ricercatori della società di sicurezza “Armis” nei chip Bluetooth Low Energy (BLE) realizzati da “Texas Instruments”. I chip BLE (Bluetooth 4.0) sono dispositivi a basso consumo energetico progettati per applicazioni che non necessitano di scambiare grosse quantità di dati come ad esempio quelle utilizzate nel settore sanitario (e che controllano pompe per insulina e pacemaker), IoT, e quello sportivo, coprendo una distanza di circa 100 metri.

I chip vulnerabili sono incorporati in milioni di dispositivi e punti di accesso di rete che forniscono il WiFi alle reti aziendali prodotte da Cisco, Meraki e Aruba Networks, cioè leader del networking e che rappresentano circa il 70% dei punti di accesso wireless.

Le vulnerabilità scoperte sono particolarmente critiche e, se sfruttate, permetterebbero ad un attaccante remoto di eseguire codice arbitrario sul dispositivo assumendone il pieno controllo senza necessità di autenticazione. E’ vero che un attaccante dovrebbe trovarsi a breve distanza dal dispositivo vulnerabile per aver successo, ma è altresì vero che qualora l’attaccante abbia ottenuto il controllo del dispositivo, può in pochi minuti saltare sugli altri dispositivi della rete aziendale, installare backdoor persistenti e consentirsi a quel punto l’accesso da qualsiasi parte del mondo in qualsiasi momento. E il tutto in modo ignaro all’azienda attaccata.

Le due vulnerabilità BLEEDINGBIT, CVE-2018-16986 e CVE-2018-7080, riguardano diversi chip Texas Instruments (TI) e questi sono elencati, insieme ai dispositivi che li incorporano, nella tabella che riportiamo sotto (fonte Armis).

CVE-2018-16986

TI chips vulnerabili

  • CC2640 (non-R2) con BLE-STACK
    Versione 2.2.1 o più recente
  • CC2650 con BLE-STACK
    Versione 2.2.1 o più recente
  • CC2640R2F con SimpleLink CC2640R2 SDK
    Versione 1.00.00.22 (BLE-STACK 3.0.0)
  • CC1350 con SimpleLink CC13x0 SDK
    Versione 2.20.00.38 (BLE-STACK 2.3.3) o più recente

Access point vulnerabili

  • Cisco 1800i Aironet Access Points
  • Cisco 1810 Aironet Access Points
  • Cisco 1815i Aironet Access Points
  • Cisco 1815m Aironet Access Points
  • Cisco 1815w Aironet Access Points
  • Cisco 4800 Aironet Access Points
  • Cisco 1540 Aironet Series Outdoor Access Point
  • Meraki MR30H AP
  • Meraki MR33 AP
  • Meraki MR42E AP
  • Meraki MR53E AP
  • Meraki MR74

CVE-2018-7080

TI chips vulnerabili

  • cc2642r
  • cc2640r2
  • cc2640
  • cc2650
  • cc2540
  • cc2541
  • Access point vulnerabili

  • AP-3xx and IAP-3xx series access points
  • AP-203R
  • AP-203RP
  • ArubaOS 6.4.4.x prior to 6.4.4.20
  • ArubaOS 6.5.3.x prior to 6.5.3.9
  • ArubaOS 6.5.4.x prior to 6.5.4.9
  • ArubaOS 8.x prior to 8.2.2.2
  • ArubaOS 8.3.x prior to 8.3.0.4

Va precisato che la vulnerabilità CVE-2018-7080 può essere sfruttata solo se il dispositivo vulnerabile ha abilitato la funzione di download del firmware “Over the Air” (OAD). Questa vulnerabilità potrebbe essere sfruttata fornendo un aggiornamento dannoso all’Access Point che sovrascriva il suo firmware. I ricercatori hanno spiegato che tutti gli Access Point di Aruba condividono la stessa password OAD che può essere sniffata dall’attaccante durante un aggiornamento legittimo oppure facendo reverse engineering del dispositivo. E’ stato rilasciato a tal proposito un Advisor da Aruba.

Al momento non siamo comunque a conoscenza di sfruttamenti di queste vulnerabilità.

MITIGATION

Armis a Giugno 2018 ha informato dei difetti tutte le case produttrici interessate, aiutandole ad implementare le soluzioni adeguate.

Texas Instruments ha confermato la vulnerabilità e rilasciato patch per l’hardware interessato che saranno disponibili tramite i rispettivi OEM. Di recente ha rilasciato la versione 2.2.2 del protocollo BLE-STACK per risolvere le vulnerabilità CVE-2018-16986.

E sia Cisco che Aruba hanno rilasciato patch di sicurezza o spiegato come mitigare le vulnerabilità per i propri prodotti.

Il consiglio che diamo è quello, come sempre, di tenere aggiornati tutti i Sistemi Operativi e tutti i device, compresi quelli IoT e qualsiasi che si connetta ad internet o ad altri dispositivi tramite wifi. Non è sbagliato essere “paranoici” con gli aggiornamenti di sicurezza.

Gli attacchi contro i dispositivi WiFi stanno aumentando in quanto le aziende sempre più fanno utilizzo di questa tecnologia. Consigliamo di tenere spento il WiFi dei dispositivi quando non vengono utilizzati e di usare password forti cambiandole spesso. Controllare inoltre periodicamente chi è connesso alla rete WiFi aziendale per individuare eventuali intrusi.

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub

 

I nostri esperti di Sicurezza e il nostro Operations Center saranno lieti di aiutarvi per qualsiasi esigenza. Contattateci per una verifica sullo stato di sicurezza della Vostra Rete o sui nostri piani formativi al Vs personale dipendente.