BLE芯片Bleedingbit漏洞

Armis发现了两个影响AP和其他非托管设备的芯片级漏洞。因为这两个漏洞都与Texas Instruments (TI)的BLE (Bluetooth Low Energy)芯片有关，因此漏洞被称为Bleedingbit。因为芯片是嵌入在其他设备中的，包括Cisco, Meraki和Aruba的AP设备，而这几家尝试的企业级网络设备市场份额约占70%。

这两个漏洞允许非授权的攻击者在不被检测到的情况下入侵企业网络。攻击者可以控制AP，在不同的网络段中移动，并在不同网络段中创建桥接，也就打破了原有的网络隔离。

漏洞概述

Armis发现的这两个漏洞都是与BLE芯片有关。BLE协议书基于原有的蓝牙协议，并创建了紧密相连的网络并应用在IoT设备中。除了应用于AP这样的网络设备外，医疗中心也用BLE在高价值目标中追踪信标的位置。零售商将BLE应用于POS设备和室内导航，同时BLE也被用于酒店业、办公室、智能家庭中的智能门锁。

BLE芯片提供了一些新的特征，同时也引入了一些新的风险，扩大了攻击面。这在AP这样的网络设备中尤其明显，因为芯片使AP设备拥有了新的功能，如果存在芯片级的漏洞，那么整个网络都会受到威胁。本文描述的漏洞除了漏洞本身以外，还提供了一个新的攻击面。

非授权和无法检测到的攻击

因为BLEEDINGBIT漏洞会影响负责无线通信的BLE芯片，因此该漏洞可被远程利用。一般的远程攻击都是通过互联网实施的，但是BLEEDINGBIT漏洞可以通过OTA的方式被远程利用。攻击者在未经认证的情况下可以以非成员的身份对一个安全网络进行入侵。Airborne攻击对攻击者来说是非常有利的，首先，传统安全措施是不能检测到的；第二，其传染性会使用攻击在一定范围内蔓延。

漏洞原理

BLEEDINGBIT RCE漏洞 (CVE-2018-16986)

BLEEDINGBIT RCE漏洞是德州仪器（TI）芯片漏洞，该芯片嵌入在许多设备中，本文研究主要针对AP。研究人员称，如果BLE打开，在无须任何设备信息的情况下，攻击者利用该漏洞攻击附近的设备。首先，攻击者会发送广播信息（即广告包），这些信息将存储到目标设备的内存中。这些包数据是非恶意的，只含有攻击者随后会使用的代码。这一活动传统的安全解决方案是无法检测到的。

然后攻击者会继续发送修改了特定头信息的标准广告包，将header中的特定位从ON变为OFF。这一位的改变会使芯片在分配信息时超出需要的空间，触发进程中关键内存溢出。

泄漏的内存中含有函数指针，即指向特定代码段的内存，攻击者可以用来指向之前发送了的代码。此时攻击者就可以在目标设备上运行恶意代码，安装后门，等待通过BLE传输的下一步攻击命令。

攻击者可以修改BLE芯片的行为，攻击设备主处理器，获取处理器的完全控制权限。对AP来说，攻击者获取完全控制权限后就可以达到网络中的任何位置，打破网络隔离的限制。攻击者还可以利用被控制的设备来基于距离进行传播，发起airborne攻击。

BLEEDINGBIT OAD RCE漏洞（CVE-2018-7080）

BLEEDINGBIT OAD RCE漏洞只发生在Aruba Access Point Series 300中，其使用了TI的OAD（Over the Air firmware Download，OTA固件下载）特征。技术上讲，这实际上是BLE芯片设计用来进行固件更新的后门。OAD特征常被用作开发工具，也被用于AP生产中。允许附近的攻击者来访问和安装全新和不同版本的固件，甚至覆写BLE芯片的操作系统。

默认情况下，OTA特征并不自动配置为解决安全更新固件的问题。OAD允许运行在BLE芯片上的固件通过GATT事务进行简单更新。在Aruba的AP中，会加入一个硬编码的密码来预防OAD特征被攻击者滥用。

但是通过合法更新或逆向Aruba的BLE固件来获取硬编码密码的攻击者可以连接到有漏洞的AP的BLE芯片，并上传含有攻击者代码的恶意固件，达到重写操作系统、获取完全控制权的目的。

如何应对？

关于CVE-2018-16986漏洞，TI发布了BLE-STACK更新。关于CVE-2018-7080漏洞，如果在在线、生产环境中没有适当的安全防护，建议关闭OAD功能。

允许攻击者通过OTA进行传播的漏洞对企业和个人来说都是一种很大的威胁。终端保护、移动数据管理、防火墙和网络安全解决方案等目前的安全措施都不是为识别这类攻击和相关的漏洞、利用而设计的，这些安全措施主要是拦截通过IP连接进行传播的攻击。

因此需要新的安全措施来解决这一新的airborne攻击向量，尤其是与air gapping和网络隔离不相关的攻击。随着桌面、手机、IoT设备的增长，确保这类漏洞不被利用非常重要。