還記得BlueBorne嗎?一年過去了,仍有20億藍牙設備的漏洞沒有修復
前言
去年這個時候,國外安全廠商Armis公布了8個藍牙漏洞,可讓黑客無視藍牙版本完全控制設備和數據。Armis將這一組漏洞合為名叫「BlueBorne」的攻擊媒介。當時,BlueBorne的殺傷範圍幾乎涵蓋所有具備藍牙功能的Android、Linux、Windows和iOS設備。自從漏洞披露之後,各大廠商一直在穩步推送相關更新。但根據Armis的估算,仍有超過20億的設備仍然暴露在風險之中,它們沒有進行更新,或者壓根就接收不到更新補丁。
讓我們回顧一下BlueBorne並了解一下現狀。
什麼是BlueBorne?
BlueBorne是去年九月Armis實驗室發布的一組由藍牙漏洞組成的攻擊媒介名稱,危及支持藍牙功能的移動、桌面和物聯網操作系統,包括Android、iOS、Windows和Linux等設備,包含以下8個漏洞:
Linux內核RCE漏洞 - CVE-2017-1000251
Linux藍牙堆棧(BlueZ)信息泄漏漏洞 - CVE-2017-1000250
Android信息漏洞漏洞 - CVE-2017-0785
Android RCE漏洞#1 - CVE-2017-0781
Android RCE漏洞#2 - CVE-2017-0782
Android Bluetooth Pineapple邏輯缺陷-CVE-2017-0783
Windows Bluetooth Pineapple邏輯缺陷-CVE-2017-8628
Apple低功耗音頻協議RCE漏洞 - CVE-2017-14315
憑藉這些漏洞,黑客能夠通過無線方式利用藍牙協議攻擊和控制設備、訪問數據和網路,甚至滲透到某些安全的物理隔離網路,並在設備間傳播惡意軟體。 期間攻擊者無需與目標設備進行配對,並且目標設備沒有設置為可發現模式也不在話下,這一點就厲害了。
BlueBorne有多危險?
BlueBorne無需物理鏈路,只要無線信號即可投入攻擊,就像感冒病毒一樣,BlueBorne通過空氣從一個設備「傳染到」另一個設備。它瞄準了目前網路防禦中極度薄弱的地方,可能也是沒有針對性安全措施保護的地方。由於藍牙進程在所有操作系統上都具有高許可權,因此利用它可以實現對設備的完全控制。
對黑客來說,這樣的特性揉合在一起就像一個大禮包一樣,適用面相當廣泛,比如說網路間諜、數據盜竊、勒索、甚至構建由多種類型設備組成的超大規模殭屍網路。此外,BlueBorne可入侵與互聯網等網路進行物理隔離的系統和設備,光這一點大部分攻擊手段都難望其項背。
舉個例子,黑客可以使用Blueborne實現遠程代碼執行或中間人攻擊:
與傳統的惡意軟體攻擊不同,用戶無需單擊鏈接或下載可疑文件,啟動攻擊無需誘騙用戶採取任何操作。
通過空氣傳播使得攻擊更具傳染性,並且難以發現。
物理隔離的工業系統、政府機構和關鍵基礎設施面臨極高的風險。
現狀如何?
數十億設備仍處在威脅之中
當ARMIS公布了BlueBorne後,許多供應商都發布了針對這些缺陷的補丁和軟體更新。但是據Armis估算,至少有20億台設備的漏洞沒有得到修復。包括:
運行Linux的7.68億台設備
運行Android 5.1(Lollipop)和更早版本的7.34億台設備
運行Android 6(Marshmallow)和更早版本的2.61億台設備
運行受影響的的Windows版本的
2億台設備
運行iOS 9.3.5及更早版本的5000萬台設備
這些設備有些未修復,而有些不可修復,範圍涵蓋伺服器、可穿戴設備、工業設備到醫療設備等。按照Armis的說法,其中很大一部分原因是企業不知道內部有多少支持藍牙功能的設備。因此在進行商業活動是,無論是員工和訪客處於漏洞未修復的環境中時都會面臨重大風險。
補丁仍然需要花費大量時間進行部署
在發現漏洞和威脅時,廠商可能需要數周、數月甚至更長時間才能部署更新。去年四月
Armis
就通知了受影響的供應商,五個月後才披露了BlueBorne。讓我們來看一下BlueBorne披露時間表和廠商推送最終用戶補丁的時間節點。2017年9月12日:Armis與Google、Linux和Microsoft就BlueBorne進行了首次公開披露。
當月,谷歌向合作夥伴發布補丁,Linux發布補丁信息,微軟向所有受影響的Windows設備推送補丁;
2017年10月3日:21天後,Verizon向旗下發售的收集推送了補丁;
2017年10月8日:華為發布安全建議並更新有關受影響設備的信息;
2017年10月10日:Verizon推送了第二波補丁;
2017年10月13日:AT&T推送了Nexus 6和LG V10的更新;
2017年10月30日:AT&T的第二波更新補丁到達特定用戶的設備;
2018年1月8日:Verizon推送第三波補丁;
2018年6月7日:聯想為一些老款安卓平板電腦升級固件以修復漏洞。
同時,iOS 10及更高版本不受BlueBorne的影響,但以前的版本受到影響並且仍未修補。
2017年年11月14日:第二次公開BlueBorne披露
Armis對BlueBorne漏洞做了第二次公開披露,這次影響了1500萬台Amazon Echo和500萬台Google Home設備。亞馬遜和谷歌自動將補丁推送到Echo和Google Home設備。
短短几個月就可以看到許多供應商的努力和進步,Amazon和Google改進了系統的更新機制,比如Google的Project Treble項目實現了Android操作系統的模塊化,使得供應商能夠更輕鬆、更快地向最終用戶推送關鍵安全更新。
但是,大量設備仍然難以及時得到更新,原因包括以下三點:
並非所有Android設備都支持Project Treble,必須要通過廠商自己的方式進行更新。
目前仍在使用的設備中有些已經被淘汰了,或者是不再得到支持(包括2.09億台的iOS設備),根本無法接收更新。
運行的Linux的設備(如醫療設備和工業設備)很難或無法打補丁。
正如下圖所示,像BlueBorne這樣的漏洞需要很長的時間才會消亡。特別是安卓和Linux設備的曲線拖了很長的尾巴:
藍牙漏洞仍層出不窮
Wi-Fi協議(802.11)只有450頁,而藍牙標準居然有了2822頁。藍牙協議太複雜了,協議堆棧層中定義了太多特定應用和功能。過度複雜的直接結果是藍牙標準漏洞頻出。
關於藍牙漏洞,實際上最可怕的事情還不是它能做什麼,而是還有多少藍牙漏洞我們未能先於網路犯罪分子發現和披露。BlueBorne喚醒了業界對於藍牙漏洞和攻擊方式的研究,下圖反應了自BlueBorne披露以來,其他藍牙漏洞的發現數量:
2018年2月 - 研究人員在iOS、watchOS和tvOS中披露了一個藍牙漏洞,該漏洞可以允許沙箱內的進程與沙箱外的其他進程通信。
2018年3月 - 研究人員公布了五個Android藍牙遠程代碼執行漏洞(CVE-2017-13160、CVE-2017-13255、CVE-2017-13256、CVE-2017-13272、CVE -2017-13266)。Android 8.1修復了這些漏洞,但運行Android 7.0或更早版本的設備仍無防範之力,而這些設備的數量有13億之巨。
2018年5月 - 騰訊的研究人員披露了BMW ConnectedDrive中的藍牙漏洞。
2018年7月 - 以色列研究人員發現可不要求設備驗證在安全配對期間通過無線方式接收的公共加密密鑰。該漏洞影響主要供應商(包括蘋果、博通、英特爾和高通 )的固件或操作系統。
結語
在企業中,非受管和物聯網設備的使用數量呈指數級增長,企業的連通性和生產力也實現了質的飛躍,因此也成了新的攻擊對象。網路犯罪分子越來越關注利用漏洞攻擊這些設備的方式,藍牙算是一個大頭。由於藍牙設備的數量非常龐大,而且針對性的攻擊可以通過無線方式實現並且在設備之間傳播,對於任何組織或個人來說都是需要正視威脅。現有安全產品中的絕大部分只能檢測和阻止通過互聯網進行的攻擊,端點保護、移動設備管理、防火牆和其他網路安全產品等無法阻止像BlueBorne這樣的無線攻擊。
*參考來源:Darkreading,Freddy編譯整理,轉載請註明來自 FreeBuf.COM
※Frida在爆破Windows程序中的應用
※看我如何hack BlackHat:使用BCard API枚舉註冊與會者
TAG:FreeBuf |