【51CTO.com快譯】為企業(yè)提供WiFi服務(wù)的接入點(diǎn)中常見的藍(lán)牙芯片爆出了兩個(gè)漏洞，這讓攻擊者在不用驗(yàn)證身份的情況下就可以控制設(shè)備或破壞網(wǎng)絡(luò)。

高危芯片還用于醫(yī)療設(shè)備（胰島素泵和心臟起搏器）、智能鎖及依賴藍(lán)牙低功耗（BLE）技術(shù)進(jìn)行通信的其他眾多類型的產(chǎn)品中。目前共有多少設(shè)備受影響不得而知。

Armis安全公司的物聯(lián)網(wǎng)設(shè)備研究人員發(fā)現(xiàn)了德州儀器（TI）的BLE芯片存在漏洞，將這些漏洞統(tǒng)稱為BLEEDINGBIT。

已知嵌入存在漏洞的TI BLE芯片的具體產(chǎn)品有來自思科、Meraki（2012年12月被思科收購(gòu)）和Aruba Networks（惠普子公司）的WiFi網(wǎng)絡(luò)設(shè)備。在每年部署到企業(yè)界的接入點(diǎn)中，這三大品牌的銷量至少占到了70%。

BLEEDINGBIT遠(yuǎn)程代碼執(zhí)行CVE-2018-16986

其中一個(gè)漏洞名為CVE-2018-16986，一旦被利用，可觸發(fā)BLE堆棧中的內(nèi)存損壞，為未驗(yàn)證身份的攻擊者提供了全面控制系統(tǒng)的機(jī)會(huì)。

Armis在一份報(bào)告中稱：“攻擊者可以在受影響的設(shè)備附近利用該漏洞，只要設(shè)備的BLE已開啟，無需其他任何前提條件或了解設(shè)備?！?

攻擊者只要向接入點(diǎn)（AP）發(fā)送含有下一步中被觸發(fā)的精心設(shè)計(jì)的廣播數(shù)據(jù)包，就可以鉆這個(gè)漏洞的空子。

在第二階段，AP收到溢出數(shù)據(jù)包（即經(jīng)過改動(dòng)的廣播數(shù)據(jù)包），某個(gè)特定的位已被開啟。以這種方式觸發(fā)的內(nèi)存泄漏揭示了攻擊者可用來執(zhí)行攻擊第一階段中傳送的代碼的函數(shù)指針。

Armis警告：“這時(shí)，攻擊者可以在被攻擊設(shè)備上運(yùn)行惡意代碼，在高危芯片上植入后門，等待通過BLE傳送的進(jìn)一步命令。”

CVE-2018-16986存在于下列TI芯片中：

?BLE-STACK版本2.2.1或更早版本的CC2640（非R2）

?BLE-STACK 2.2.1或更早版本的CC2650

?BLE-STACK 1.0或更早版本的CC2640R2

據(jù)Armis聲稱，下列思科和Meraki接入點(diǎn)存在該漏洞：1542 AP、1815 AP、4800 AP、MR33、MR30H、MR74和MR53E。

BLEEDINGBIT遠(yuǎn)程代碼執(zhí)行CVE-2018-7080

第二個(gè)BLEEDINGBIT漏洞是個(gè)后門，在開發(fā)階段有助于推送無線下載（OAD）的固件。該功能用于通過連接使用預(yù)設(shè)置密碼的設(shè)備來遠(yuǎn)程更新設(shè)備。

TI表示，供應(yīng)商不應(yīng)在設(shè)備的生產(chǎn)環(huán)境下中使用OAD功能。以Aruba 300系列WiFi設(shè)備為例，Armis發(fā)現(xiàn)它們的密碼都一樣。

攻擊者可以在合法更新進(jìn)行時(shí)嗅探網(wǎng)絡(luò)或?qū)Ξa(chǎn)品進(jìn)行逆向工程處理來探知密碼。有了OAD訪問碼，不法分子可以創(chuàng)建欺詐性固件更新，并提供給附近的設(shè)備。

受CVE-2018-7080影響的TI BLE芯片有：

?cc2642r

?cc2640r2

?cc2640

?cc2650

?CC2540

?cc2541

IT拿出了補(bǔ)丁

6月20日，Armis向TI告知了CVE-2018-16986。該芯片制造商獲悉了該漏洞，但認(rèn)為這是穩(wěn)定性問題，卻沒有認(rèn)識(shí)到安全后果。

認(rèn)識(shí)到安全后果很嚴(yán)重后，TI與Armis合作，發(fā)布了一個(gè)補(bǔ)丁，該補(bǔ)丁可以在BLE-STACK的版本2.2.2中找到。

至于CVE-2018-7080，該制造商建議在生產(chǎn)環(huán)境下禁用OAD功能，因?yàn)樗鼉H用于開發(fā)和測(cè)試用途。

本文發(fā)布后，思科主動(dòng)聯(lián)系媒體，強(qiáng)調(diào)BLEEDINGBIT僅出現(xiàn)在數(shù)據(jù)有限的Aironet和Meraki產(chǎn)品中（見下表），默認(rèn)情況下沒有這個(gè)隱患。

攻擊得逞需要BLE功能和掃描模式同時(shí)開啟。公司發(fā)言人表示，Aironet產(chǎn)品默認(rèn)情況下并未開啟BLE，掃描模式在思科的所有可能受影響的設(shè)備上都被禁用。此外，攻擊者需要在目標(biāo)設(shè)備附近。

該公司今天發(fā)布了一份安全公告，闡明：受影響的Aironet接入點(diǎn)的固件版本8.7使用了存在安全風(fēng)險(xiǎn)的BLE功能。補(bǔ)丁已出現(xiàn)在版本8.8.100中；至于Meraki設(shè)備，MR 25.13及更高版本已修復(fù)了問題。

管理員可以運(yùn)行命令show controllers bleRadio 0 interface來確定BLE是否已啟用；只有高危設(shè)備才能識(shí)別這個(gè)命令；否則會(huì)顯示錯(cuò)誤信息：BLE在該平臺(tái)上不支持。

想了解如何禁用Meraki設(shè)備上的BLE功能，請(qǐng)點(diǎn)擊此處https://documentation.meraki.com/MR/Bluetooth/Bluetooth_Low_Energy_(BLE)#Enable_Bluetooth_Scanning。

受BLEEDINGBIT影響的思科產(chǎn)品包括如下：

產(chǎn)品	思科漏洞編號(hào)	已修復(fù)版本
Cisco 1540 Aironet Series Outdoor Access Points	CSCvk44163	8.8.100.0
Cisco 1800i Aironet Access Points	CSCvk44163	8.8.100.0
Cisco 1810 Aironet Access Points	CSCvk44163	8.8.100.0
Cisco 1815i Aironet Access Points	CSCvk44163	8.8.100.0
Cisco 1815m Aironet Access Points	CSCvk44163	8.8.100.0
Cisco 1815w Aironet Access Points	CSCvk44163	8.8.100.0
Cisco 4800 Aironet Access Points	CSCvk44163	8.8.100.0
Meraki MR30H AP	N/A	MR 25.13 and later
Meraki MR33 AP	N/A	MR 25.13 and later
Meraki MR42E AP	N/A	MR 25.13 and later
Meraki MR53E AP	N/A	MR 25.13 and later
Meraki MR74	N/A	MR 25.13 and later

原文標(biāo)題：New BLEEDINGBIT Vulnerabilities Affect Widely-Used Bluetooth Chips，作者：Ionut Ilascu