Come posso proteggere i sistemi Linux dall'attacco remoto BlueBorne?

19

Armis Lab ha scoperto un nuovo attacco vettoriale che interessa tutti i dispositivi con Bluetooth abilitato, inclusi i sistemi Linux e IoT.

Attacco BlueBorne su Linux

Armis ha rivelato due vulnerabilità nel sistema operativo Linux che consentono agli aggressori di assumere il controllo completo sui dispositivi infetti. La prima è una vulnerabilità di perdita di informazioni, che può aiutare l'attaccante a determinare la versione esatta utilizzata dal dispositivo di destinazione e ad adattare di conseguenza il suo exploit. Il secondo è un overflow dello stack con può portare al pieno controllo di un dispositivo.

Ad esempio, tutti i dispositivi con Bluetooth abilitato devono essere contrassegnati come dannosi. I dispositivi infetti creeranno una rete dannosa che consente all'autore dell'attacco di assumere il controllo di tutti i dispositivi al di fuori della sua portata Bluetooth. L'uso del Bluetooth su sistema Linux per connettere una periferica (tastiere, mouse, cuffie, ecc.) Comporta un rischio per Linux.

Questo attacco non richiede alcuna interazione, autenticazione o associazione dell'utente, rendendolo praticamente invisibile.

Tutti i dispositivi Linux che eseguono BlueZ sono interessati dalla vulnerabilità della perdita di informazioni (CVE-2017-1000250).

Tutti i miei sistemi operativi Linux con Bluetooth abilitato sono contrassegnati come vulnerabili dopo un controllo con BlueBorne Vulnerability Scanner (l'applicazione Android di Armis per scoprire il dispositivo vulnerabile richiede di abilitare il rilevamento del dispositivo, ma l'attacco richiede solo che il Bluetooth sia abilitato).

C'è un modo per mitigare l'attacco BlueBorne quando si utilizza il Bluetooth su un sistema Linux?

linux  security  bluetooth  bluez  vulnerability 
GAD3R
fonte
2
Disattivare BlueTooth potrebbe essere un buon inizio.
Bob Jarvis - Reinstalla Monica il
1
Se è necessario utilizzare il bluetooth, ora sono state applicate correzioni sia a BlueZ che al kernel. Ma ciò significa anche che dovrai compilare ed eseguire un kernel da zero.
danielunderwood,

Risposte:

19

La data di divulgazione coordinata delle vulnerabilità di BlueBorne era il 12 settembre 2017; dovresti vedere aggiornamenti di distribuzione con correzioni per i problemi poco dopo. Per esempio:

Fino a quando non è possibile aggiornare il kernel e BlueZ sui sistemi interessati, è possibile mitigare il problema disabilitando il Bluetooth (che potrebbe avere effetti negativi, soprattutto se si utilizza una tastiera o un mouse Bluetooth):

  • inserire nella blacklist i principali moduli Bluetooth

    printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf

  • disabilitare e interrompere il servizio Bluetooth

    systemctl disable bluetooth.service
systemctl mask bluetooth.service
systemctl stop bluetooth.service

  • rimuovere i moduli Bluetooth

    rmmod bnep
rmmod bluetooth
rmmod btusb

    (questo probabilmente non riuscirà inizialmente con un errore che indica che altri moduli li stanno usando; dovrai rimuovere quei moduli e ripetere i comandi sopra).

Se vuoi patchare e ricostruire BlueZ e il kernel da solo, le correzioni appropriate sono disponibili qui per BlueZ e qui per il kernel .

Stephen Kitt
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.