两个新的蓝牙芯片缺陷使数百万设备面临远程攻击

安全研究人员公布了嵌入全球企业使用的数百万接入点和网络设备中的蓝牙低能（BLE）芯片中两个关键漏洞的详细信息。

配音流血，这两个漏洞的集合可能允许远程攻击者执行任意代码，并在没有身份验证的情况下完全控制易受攻击的设备，包括胰岛素泵和起搏器等医疗设备，以及销售点和物联网设备。

以色列安全公司Armis的研究人员发现，这些漏洞存在于蓝牙低能量（BLE）堆叠芯片由德州仪器公司（TI）制造，思科、梅拉基和阿鲁巴正在其企业产品线中使用。

Armis是去年发现的同一家安全公司蓝精灵Android、Windows、Linux和iOS中的一组九个零天蓝牙相关缺陷影响了数十亿设备，包括智能手机、笔记本电脑、电视、手表和汽车音响系统。

BLE芯片中首次出现的GBIT RCE漏洞（CVE-2018-16986）

第一个漏洞被识别为CVE-2018-16986，存在于TI芯片CC2640和CC2650中，影响到许多Cisco和Meraki的Wi-Fi接入点。该漏洞利用了蓝牙芯片分析输入数据时的漏洞。

根据研究人员的说法，向BLE芯片发送的流量超过其应处理的流量会导致内存损坏，通常称为缓冲区溢出攻击，这可能会让攻击者在受影响的设备上运行恶意代码。

研究人员解释说：“首先，攻击者发送多条良性的BLE广播信息，称为广告包，这些信息将存储在目标设备中易受攻击的BLE芯片的内存中”。

“接下来，攻击者发送溢出数据包，这是一个标准的广告数据包，它的头中有一个特定的位被打开而不是关闭。这个位使芯片从数据包中分配的信息比实际需要的空间大得多，在这个过程中触发关键内存溢出”。

需要注意的是，最初的攻击要求黑客在物理上接近目标设备，但一旦受到攻击，他们可以控制接入点，从而拦截网络流量，在芯片上安装持久后门，或通过互联网对其他连接设备发起更多攻击。

BLE芯片（CVE-2018-7080）中的第二个出血性GBIT负载RCE缺陷

第二个漏洞被确定为CVE-2018-7080​；，位于CC2642R2、CC2640R2、CC2640、CC2650、CC2540和CC2541 TI芯片中，影响阿鲁巴的Wi-Fi接入点300系列。

此漏洞源于Texas Instruments在BLE芯片中的固件更新功能问题，称为空中固件下载（OAD）。

由于所有阿鲁巴接入点共享相同的OAD密码，可以“通过嗅探合法更新或反向工程阿鲁巴BLE固件获得”，攻击者可以向目标接入点发送恶意更新并重写其操作系统，从而获得对设备的完全控制。

研究人员解释说：“默认情况下，OAD功能不会自动配置为处理安全固件更新。它允许通过GATT事务对BLE芯片上运行的固件进行简单的更新机制”。

研究人员说：“攻击者…；可以连接到易受攻击的接入点上的BLE芯片，并上传包含攻击者自身代码的恶意固件，有效地允许攻击者完全重写其操作系统，从而获得对其的完全控制”。

补丁相关信息

Armis在今年早些时候发现了GBIT漏洞，并于2018年6月负责任地报告了所有受影响的供应商，然后还与受影响的公司联系并合作，帮助他们推出适当的更新以解决这些问题。

德克萨斯仪器公司确认了这些漏洞，并于周四发布了受影响硬件的安全补丁，这些补丁将通过各自的OEM提供。

同样拥有Meraki的思科于周四发布了三个Aironet系列无线接入点（1542 AP、1815 AP、4800 AP）和Meraki系列接入点（MR33、MR30H、MR74、MR53E）的BLE-STACK 2.2.2版，以解决CVE-2018-16986问题。

阿鲁巴还为其Aruba 3xx和IAP-3xx系列接入点发布了安全补丁，以解决CVE-2018-7080和缺陷

然而，思科和阿鲁巴都指出，他们的设备默认禁用蓝牙。没有供应商知道有人在野外积极利用这些零日漏洞。