Bleedingbit zero-day-chip gebreken kunnen blootstellen meerderheid van de ondernemingen tot uitvoering van externe code aanvallen

0
168

Nul

Bleedingbit is een set van twee nieuwe zero-day kwetsbaarheden die het potentieel hebben om bloot enterprise bedrijven om tot uitvoering van externe code aanvallen wereldwijd.

Op donderdag onderzoekers van enterprise security bedrijf Armis bleek de fouten, die samen impact Bluetooth Low Energy (BLE) chips die gebruikt worden in miljoenen Cisco, Meraki, en Aruba draadloze access points (ap ‘ s).

Ontwikkeld door Texas Instruments (TI), de kwetsbare BLE chips worden gebruikt door ongeveer 70 tot 80 procent van de business wireless access points vandaag bij wijze van Cisco, Meraki en Aruba producten.

“Omdat bedrijven een beroep op hen doen voor mission-critical communications, een compromis op dit niveau kunnen geven aanvallers diep toegang tot bedrijfsnetwerken,” Armis zegt.

Het is op dit moment niet bekend hoeveel apparaten worden direct beïnvloed door Bleedingbit, echter, Armis vertelde ZDNet dat de eerste cijfers schatten dat “miljoenen” van de apparaten worden beïnvloed, en “dit aantal zal naar verwachting stijgen.”

De BLE-protocol, ook wel bekend als de Bluetooth Smart, is gebaseerd op de standaard Bluetooth-communicatie-protocol, maar is op maat gemaakt voor het Internet of Things (IoT) apparaten.

ER wordt niet alleen gebruikt voor het aansluiten van de IoT-apparaten in de low-power-netwerken. Het protocol wordt ook gebruikt voor het toegangspunt in netwerken, smart home sloten, telefoon-als-een-sleutel aangesloten systemen, tracking systemen en medische apparatuur, zoals pacemakers, insulinepompen en.

Terwijl BLE is nuttig voor cross-platform ondersteuning van de IoT en mobiele apparaten die draaien op een scala van besturingssystemen, Armis zegt de nieuwe standaard is geopend apparaten tot een “nieuwe assortiment van chip-gebaseerde kwetsbaarheden, het in gevaar brengen van de integriteit van de netwerken die zij dienen.”

De eerste kwetsbaarheid CVE-2018-16986, effecten Cisco en Meraki APs met behulp van TI BLE chips.

Aanvallen kunnen op afstand sturen van meerdere goedaardige BLE broadcast-berichten, de zogenaamde “reclame pakketten” die zijn opgeslagen op het geheugen van de kwetsbare chip. Zolang een doelapparaat de BLE is ingeschakeld, kunt u deze pakketten — die bevatten verborgen schadelijke code aangeroepen worden later-kan worden gebruikt samen met een overloop pakket te leiden tot een overstroming van de kritische geheugen.

Als ze benut aanvallers in staat zijn om te activeren van geheugenbeschadiging in de chip BLE stapel, het maken van een scenario waarin de dreiging van de acteur is in staat om toegang te krijgen tot het besturingssysteem en de kapen van apparaten, het maken van een backdoor, en op afstand uitvoeren van kwaadaardige code.

“In het geval van een toegangspunt, zodra de aanvaller kreeg de controle kan hij bij alle netwerken geserveerd door, ongeacht welk netwerk segmentatie,” Armis zegt. “Bovendien, kan de aanvaller op het apparaat gebruiken in zijn controle te verspreiden lateraal op een ander apparaat in de omgeving, het starten van een werkelijk de lucht vallen.”

De TI chip versies hieronder zijn kwetsbaar wanneer het scannen wordt gebruikt in de rol van waarnemer of de centrale rol:

CC2640 (niet-R2) met BLE-STACK versie 2.2.1 of eerder; orCC2650 met BLE-STACK versie 2.2.1 of eerder; orCC2640R2 met BLE-STACK versie 1.0 of eerder

Beïnvloed toegangspunten:

Cisco APs:

Cisco 1800i Aironet Access PointsCisco 1810 Aironet Access PointsCisco 1815i Aironet Access PointsCisco 1815m Aironet Access PointsCisco 1815w Aironet Access PointsCisco 4800 Aironet Access PointsCisco 1540 Aironet Serie Outdoor Access Point

Meraki APs:

Meraki MR30H APMeraki MR33 APMeraki MR42E APMeraki MR53E APMeraki MR74

De tweede kwetsbaarheid CVE-2018-7080, is aanwezig in het over-the-air downloaden van firmware (OAD) functie van TI chips die gebruikt worden in Aruba Wi-Fi-toegangspunt-Serie 300 systemen.

Zie ook: Twee miljard apparaten nog steeds kwetsbaar voor Blueborne gebreken een jaar na de ontdekking

De kwetsbaarheid is technisch een overblijfsel ontwikkeling backdoor tool.

Deze controle, het niet verwijderen van een dergelijk krachtig instrument voor ontwikkeling, kon permitteren aanvallers om het systeem te compromitteren door het verkrijgen van een voet aan de grond in een kwetsbare toegangspunt.

“Het maakt het mogelijk voor een aanvaller om toegang te krijgen tot en het installeren van een volledig nieuwe versie van de firmware — effectief het herschrijven van het besturingssysteem van het apparaat, het bedrijf zegt. “De OAD functie niet bieden een beveiliging mechanisme dat onderscheid maakt tussen een “goede” of vertrouwde firmware-update vanaf een potentieel schadelijke update.”

De kwetsbaarheid van invloed op elk van de volgende TI BLE chips op voorwaarde dat de verkoper zijn opgenomen de OAD-functie in de volgende apparaten:

cc2642rcc2640r2cc2640cc2650cc2540cc2541

Samen, beide kwetsbaarheden kunnen geven dreigingen bijna onbeperkte mogelijkheden om schade aan te richten binnen een enterprise-systeem — inclusief apparaat kaping, knoeien met besturingssystemen, malware uitvoert payloads, het lezen van het netwerkverkeer, en verplaatsen naar lateraal tussen netwerk segmenten.

Volgens Armis, aanvallen gebruik te maken van Bleedingbit kan niet worden gedetecteerd door de traditionele antivirus-oplossingen.

TechRepublic: Hackers de verkoop van exploits aan opsporingsinstanties hebben de slechte beveiliging praktijken

“Bleedingbit is een wake-up call voor enterprise security om twee redenen,” zei Armis CEO Yevgeny Dibrov. “Ten eerste, het feit dat een aanvaller kan toegang in het netwerk zonder enige aanwijzing of waarschuwing ernstige bezorgdheid over de veiligheid. Ten tweede, deze kwetsbaarheden kunnen vernietigen netwerk segmentatie — de primaire security strategie die de meeste bedrijven gebruiken om zichzelf te beschermen tegen onbekende of gevaarlijke onbeheerde en IoT apparaten. En hier het toegangspunt is het apparaat onbeheerd.”

Armis contact met Texas Instruments met haar bevindingen op 20 juni. TI had reeds erkende het probleem, maar alleen als een stabiliteits probleem, in plaats van één met zekerheid vertakkingen. De bedrijven werkten vervolgens samen aan de ontwikkeling van een patch zodra het volledige potentieel van de bug werd gerealiseerd.

Aruba werd op de hoogte gesteld op 9 juli en Cisco is gemeld op 24 juli.

Cisco, Meraki, en Aruba hebben voorbereid patches op te lossen Bleedingbit de eerste fout, die vandaag is gepubliceerd. IT-beheerders moeten het accepteren van de security updates zodra ze beschikbaar zijn om te houden van bedrijfsnetwerken veilig te exploiteren.

Fabrikanten die gebruik maken van de kwetsbare TI chips moet upgraden naar de nieuwste BLE-STACK (v2.2.2) die uitroeit kwetsbaarheid te Bleedingbit.

Armis raadt OAD functionaliteit is uitgeschakeld in de live-productie-omgevingen te beschermen tegen het tweede probleem.

De volledige schaal van de catastrofale fouten is nog onbekend. Armis is ook het werken met de CERT Coordination Center (CERT/CC) en andere leveranciers om na te gaan wat de werkelijke omvang van de Bleedingbit kwetsbaarheden en hun potentieel te bereiken in andere types van toestellen en apparatuur.

CNET: ACLU eisen DHS openbaar zijn gebruik van de gezichts-herkenning-tech

“In dit geval hebben we duidelijk vastgesteld hoe Bleedingbit effecten apparaten in het netwerk,” aldus Ben Seri, VP Research bij Armis. “Maar deze blootstelling overstijgt de access points als deze chips worden gebruikt in veel andere types van devices en apparatuur.”

“Ze worden gebruikt in een verscheidenheid van sectoren zoals de gezondheidszorg, de industrie, de automotive, retail, en meer,” de raad toegevoegd. “Als we voegen meer aangesloten apparaten gebruik te maken van nieuwe protocollen zoals BLE, zien we de risico landschap groeien.”

Armis plannen om een volledige technische white paper beschrijft de kwetsbaarheden in de Black Hat Europe conferentie, die plaatsvinden in de eerste week van December.

De Bleedingbit bevindingen bouwen op Armis onderzoek in 2017, waaruit bleek Bluebourne, een set van negen misbruikt Bluetooth kwetsbaarheden die een invloed hadden op de meeste moderne apparaten die gebruikt worden in de communicatie protocol.

Bluebourne vergunningen account autodiefstal en diefstal van gegevens in de ergste gevallen, en op dezelfde wijze als Bleedingbit, kan niet worden gestopt door middel van traditionele antivirus-oplossingen.

De kwetsbaarheden van invloed zijn op Google ‘ s Android, Windows -, Linux-en Apple iOS voor iOS-versie 10.

Op het moment van de ontdekking werd geschat dat 5,3 miljard apparaten kwetsbaar zijn voor de Bluetooth-gebaseerd bugs. In September, Armis zei dat meer dan twee miljard apparaten blootgesteld blijven en ongewijzigde.

Vorige en aanverwante dekking

Dit botnet strikken uw slimme apparaten voor het uitvoeren van DDoS-aanvallen met een beetje hulp van Mirai Apple blokkeert GrayKey politie tech in iOS-update worden de beveiligingslekken zet miljarden van Bluetooth telefoons, apparaten in gevaar

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0