Както споменахме много пъти и ще продължим да правим това, поверителността и сигурността на информацията са два от стълбовете, за които трябва да се грижим ежедневно във всяка операционна система, с която боравим.
За никого не е тайна, че сме в онлайн свят, където всяка минута се извършват хиляди действия и където са замесени лични данни като банкови сметки, номера на карти, идентификационни номера, адрес и много други, а с нарастващия бум от атаки като ransomware или злонамерен софтуер, тези данни могат да бъдат компрометирани и използвани за злонамерени цели.
Преди малко повече от месец видяхме как WannaCry засяга хиляди потребители и корпорации по целия свят, като „отвлича“ техните данни и изисква от засегнатите суми пари за техния откуп. Тази седмица компанията Armis Labs публикува бяла книга, предупреждаваща за нова тежка уязвимост, която потенциално може да остави милиарди Bluetooth-съвместими устройства податливи на отдалечено изпълнение на код и MiTM (Man-in-The-Middle) атаки.
Това е деликатно, тъй като позволява на нападателите да поемат контрола върху компютъра и по този начин да изпълнят своите злонамерени планове. Solvetic иска да предупреди за тази нова атака и затова ще извърши пълен анализ на този нов вид заплаха, като по този начин ще ни попречи да бъдем още една жертва.
Преглед на BlueBorneКакто споменахме по -рано, Armis Labs разкри нов вектор на атака, който излага на риск основните мобилни, настолни и IoT операционни системи, сред които са Android, iOS, Windows и Linux и устройствата, които ги използват.
Този нов вектор се нарича BlueBorne и носи това име, защото се разпространява по въздуха (във въздуха) и атакува устройствата чрез услугата Bluetooth. Все още не е активиран. По същия начин Armis също разкри осем уязвимости, свързани с атаката Zero Days, нулев ден, четири от които са класифицирани като критични.
Заплахата BlueBorne позволява на нападателите да поемат контрола над устройствата, да имат достъп до корпоративни данни и мрежи, да проникнат в защитени мрежи за „достъп до интернет“ и да разпространяват зловреден софтуер странично до съседни устройства, като по този начин напълно засягат поверителността и сигурността на цялото съдържание на устройството. Armis докладва за тези уязвимости и в момента работи с разработчиците, за да ги идентифицира и да пусне корекции, за да противодейства на тази заплаха.
Какво е BlueBorneКакто беше посочено, BlueBorne е вектор на атака, при който хакерите могат да се възползват от Bluetooth връзките на устройствата, за да проникнат и да поемат пълен контрол над целевите устройства, засягайки обикновените компютри, мобилните телефони и разширяващата се сфера на устройствата на Интернет на нещата (Internet of Things) .
Тази атака не изисква целевото устройство да бъде сдвоено с устройството на нападателя, което е класическият начин на работа на Bluetooth и не изисква да бъде настроено на откриваем режим, който може да остане незабелязан от нас като потребители.
Този вектор за атака BlueBorne може да се използва за извършване на широк спектър от престъпления, включително дистанционно изпълнение на код, както и за атаки „човек в средата“. Най-лошото при тази атака е, че са открити до осем отделни уязвимости за нулев ден (включително четири критични), които могат да се използват за хакване на повечето устройства. Наличният понастоящем Bluetooth, независимо от използваната операционна система, това означава, че повече от 5 милиарда Bluetooth устройства по света са потенциално уязвими към този огромен пропуск в сигурността, който беше открит преди по -малко от седмица.
Какъв е рискът от BlueBorneВъпреки че за мнозина това е просто заплаха и смятаме, че никога няма да станем жертви, важно е да се има предвид, че векторът на атака BlueBorne има няколко качества, които могат да имат опустошителен ефект, когато се комбинират помежду си, така че когато се разпространяват през air, BlueBorne, той се фокусира върху най -слабата точка в защитата на мрежата и единствената, която не защитава никакви мерки за сигурност.
Разпространението от едно устройство на друго по въздуха също прави BlueBorne силно заразен между устройствата, увеличавайки нивата на атака и, освен това, тъй като Bluetooth процесът има високи привилегии във всички операционни системи, експлоатацията му осигурява почти пълен контрол над засегнатото устройство, без да го забележим веднага.
BlueBorne има способността да служи като всяка злонамерена цел, като например:
- Кибер шпионаж
- Кражба на данни
- Ransomware
- Създаване на ботнети извън IoT устройства като Mirai Botnet или мобилни устройства като скорошния WireX Botnet.
Колко широка е заплахата от BlueBorne?
В този момент някои потребители ще си помислят, добре, аз съм в Лима, Мадрид, Богота и имам антивирус на компютрите си, за какво да се притеснявам? Solvetic препоръчва да се предприемат подходящи мерки и да се знае, че тази заплаха може да присъства навсякъде по света.
Векторът за атака BlueBorne потенциално може да засегне всички устройства с Bluetooth, които се оценяват на повече от 8,2 милиарда устройства днес по целия свят. Не забравяйте, че Bluetooth е водещият и най-разпространен протокол за комуникации на къси разстояния и се използва от всякакви устройства, от обикновени компютри и мобилни устройства до IOT устройства като телевизори, часовници, автомобили и дори медицински устройства. Въпреки че днес имаме много повече мрежови протоколи, всички наши мобилни устройства имат Bluetooth, което ни прави цел на атака:
За да получите глобална представа за броя на устройствата, които могат да бъдат засегнати, последните публикувани доклади показват, че се използват повече от 2 милиарда Android, 2 милиарда Windows и 1 милион устройства на Apple. Gartner съобщава, че днес в света има 8 милиарда свързани или IoT устройства, много от които имат Bluetooth, така че можем да видим нивата на въздействие, които BlueBorne може да причини.
Какво е новото в BlueBorne
Въпреки че BlueBorne едва беше известен преди седмица, ние знаем много добре, че нападателите постоянно използват нови техники за разпространение на атаката и затова трябва да знаем какви нови функции са открити с тази тема.
Ето някои от тях:
Нов вектор на въздушен ударЗа разлика от повечето атаки, които се случват днес, които разчитат на интернет, атаката BlueBorne се разпространява по въздуха, което я прави много по -сериозна заплаха. Това работи по подобен начин на двете по-малко обширни уязвимости, наскоро открити на Wi-Fi чип на Broadcom от Project Zero и Exodus, тъй като уязвимостите, открити на чиповете Wi-Fi, засягат само периферните устройства на устройството и изискват още една стъпка за управление на устройството.
Вместо това, с BlueBorne, нападателите могат да получат пълен контрол още от самото начало. В допълнение към това, Bluetooth предлага много по -широка повърхност за нападателя от WiFi, почти напълно неизследвана от изследователите и следователно съдържа много повече уязвимости.
Тъй като е въздушна атака, нападателят има много по -голям шанс да изпълни плана си поради причини като:
- Разпространението във въздуха прави атаката много по -заразна, което й позволява да се разпространява с минимални усилия от нападателя
- Позволява на атаката да заобиколи сегашните мерки за сигурност и да остане незабелязана, тъй като традиционните методи не предпазват от заплахи във въздуха, а вместо това са съсредоточени върху заплахи от друг тип
- Те позволяват на хакерите да проникнат в защитени вътрешни мрежи, които са „филтрирани“, което означава, че са изключени от всяка друга мрежа за защита.
- За разлика от традиционния зловреден софтуер или атаки, потребителят не трябва да кликва върху връзка или да изтегля съмнителен файл. Не са необходими действия на потребителя, за да се позволи атаката, която може да бъде незабележима за всеки от нас.
Широка и драстична заплахаВекторът за атака BlueBorne не изисква никакво взаимодействие с потребителя, съвместим е с всички текущи версии на софтуера и не изисква никакви предварителни условия или конфигурация, освен Bluetooth да е активен, който има всички съставки, за да се превърне в една от най -лошите известни заплахи.
Въпреки че може да не изглежда вярно, устройствата с Bluetooth на нашите компютри непрекъснато търсят входящи връзки от всяко устройство, а не само тези, с които са сдвоени, което означава, че Bluetooth връзка може да бъде установена без да се сдвояват устройствата изобщо и това е основен недостатък в сигурността, тъй като позволява BlueBorne да бъде една от потенциалните атаки през последните години и позволява на нападател да атакува напълно незабелязано от потребителя или изследователите.
Bluetooth уязвимости от следващо поколениеПреди време повечето уязвимости и пропуски в сигурността на Bluetooth произхождаха от проблеми със самия протокол, които бяха поправени във версия 2.1 през 2007 г.
Bluetooth е труден за изпълнение протокол, който му позволява да бъде предразположен към два вида уязвимости:
Първо, доставчиците могат да следват указанията за прилагане на протокола „дума за дума“, което показва, че когато се установи уязвимост на една платформа, тя може да засегне други. Тези отразени уязвимости възникнаха при CVE-2017-8628 и CVE-2017-0783 (Windows и Android MiTM), които бяха „еднояйчни близнаци“.
Второ, в някои области Bluetooth спецификациите оставят много място за тълкуване, което причинява фрагментация на методите за внедряване на различни платформи, което прави всяка от тях по -вероятно да съдържа собствена уязвимост.
Поради тази причина уязвимостите, които съставляват атаката BlueBorne, се основават на различните реализации на Bluetooth протокола и са по -чести и по -тежки от известните досега.
Въз основа на този вид заплаха и начина, по който тя може да се разпространява просто и широко, Armis се свърза с разработчиците, за да координира драстични и ефективни мерки за сигурност, търсещи защита на крайния потребител.
С Armis са се свързали, както следва:
- Google се свърза на 19 април 2021-2022 г.
- Microsoft се свърза на 19 април 2021-2022 г., а актуализациите бяха направени на 11 юли 2021-2022 г.
- Apple се свърза на 9 август 2021-2022 г., тъй като Apple нямаше уязвимост в настоящите си версии на операционни системи.
- Samsung се свързва през месеците Samsung през април, май и юни, без да получи отговор
- Свързани с Linux бяха на 15 и 17 август 2021-2022 г. И на 5 септември 2021-2022 г. необходимата информация беше предоставена на екипа за сигурност на ядрото.
Засегнати устройства
Достигнахме една от точките, които са критични за повечето от нас и това е да знаем какъв процент на уязвимост сме с нашите устройства.
Не забравяйте, че BlueBorne засяга всички устройства, работещи на операционни системи Android, Linux, Windows и iOS преди версия 10, независимо от използваната версия на Bluetooth, което е широк спектър от засегнати устройства, включително компютърно оборудване., Мобилни устройства, смарт телевизори и IoT устройства.
Android
На ниво Android имаме следните ефекти:
Всички телефони, таблети и лаптопи с Android (с изключение на тези, които използват само Bluetooth Low Energy) на всички версии са засегнати от четири уязвимости, открити в операционната система Android, които са:
- (CVE-2017-0781 и CVE-2017-0782), които позволяват отдалечено изпълнение на код
- (CVE-2017-0785), в който възниква изтичане на информация
- (CVE-2017-0783), което позволява на нападател да извърши атака „човек в средата“.
- Google Pixel
- Самсунг Галакси
- Samsung Galaxy Tab
- LG Watch Sport
- Тикво аудио система за кола
Armis разработи безплатно приложение, наречено BlueBorne Vulnerability Scanner, което можем да изтеглим от Play Store на следната връзка:
Когато го изпълняваме, ще можем да видим съответния анализ. Накрая ще видим какво ниво на уязвимост имаме:
Как Android атакува:
Windows
На ниво Windows, за съжаление, всички компютри след Windows Vista са засегнати от уязвимостта „Bluetooth Pineapple“, която позволява на нападателя да извърши атака „човек в средата“ (CVE-2017-8628). Microsoft е издала кръпки за сигурност за всички поддържани версии на Windows на 11 юли 2021-2022 г.
В този случай можем да отидем на следната официална връзка на Microsoft, за да изтеглим най -новите корекции за сигурност:
Увеличете
Как атакува в Windows:
Linux
В случая на Linux всички Linux устройства, работещи с BlueZ, са засегнати от уязвимостта на изтичане на информация (CVE-2017-1000250). Всички Linux устройства от версия 3.3-rc1 (издадена през октомври 2011 г.) са засегнати от уязвимостта от отдалечено изпълнение на код (CVE-2017-1000251).
Някои примери за засегнати устройства са.
- Samsung Gear S3 (Smartwatch)
- Умни телевизори Samsung
- Samsung Family Hub (интелигентен хладилник)
Черен списък на основните Bluetooth модули:
printf "инсталирайте% s /bin /true \ n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conДеактивирайте и спрете услугата Bluetooth
systemctl деактивирайте bluetooth.service systemctl маска bluetooth.service systemctl спрете bluetooth.serviceПремахване на Bluetooth модули:
rodo bnep rodo bluetooth rodo btusb
ios
Всички iPhone, iPad и iPod touch устройства с iOS 9.3.5 или по -ниска и AppleTV устройства с версия 7.2.2 или по -нова ще бъдат засегнати от уязвимостта от отдалечено изпълнение на код. Тази уязвимост вече беше смекчена от Apple в iOS 10, така че не е необходим нов пластир, за да се смекчи и в случай, че не можете да приложите корекцията, ще е необходимо да деактивирате Bluetooth и да сведете до минимум използването му, докато не потвърди, че нов кръпка е издадена и инсталирана. пач на вашето устройство.
В следващото видео обясняваме как работи BlueBorne:
Векторът на атака BlueBorne има няколко етапа, които са:
- Първо, нападателят намира активни Bluetooth връзки в своята среда. Устройствата могат да бъдат идентифицирани, дори ако не са настроени на режим „откриваеми“
- Второ, нападателят получава MAC адреса на устройството, което е уникален идентификатор за това конкретно устройство. Чрез тестване на устройството, нападателят може да определи коя операционна система използва потребителят и да коригира съответно експлоатацията си.
- Трето, нападателят може да използва уязвимост при внедряването на Bluetooth протокола на съответната платформа и да получи достъп, от който се нуждае, за да действа по своята злонамерена цел.
- И накрая, нападателят може да избере какъв тип атака да приложи, било то човек в средата и да контролира комуникацията на устройството, или да поеме пълен контрол над устройството и да го използва за широк спектър от киберпрестъпни цели.
Можем да видим как възникват нови заплахи, които излагат на риск поверителността ни и следователно е важно да се вземат необходимите мерки за защита и актуализиране на нашите устройства.