BleedingTooth: уязвимост в BlueZ, която позволява дистанционно изпълнение на код

Инженерите на Google пуснаха чрез публикация, която са идентифицирали сериозна уязвимост (CVE-2020-12351) в Bluetooth стека "BlueZ" което се използва в дистрибуциите на Linux и Chrome OS.

Уязвимостта с кодово име BleedingTooth, позволява на неоторизиран нападател да изпълни вашия код на ниво ядро Linux без намеса на потребителя чрез изпращане на специално създадени Bluetooth пакети.

Проблемът може да бъде използван от нападател, който е в обхвата на Bluetooth и в допълнение към факта, че не се изисква предишно сдвояване между атакуващото устройство и жертвата, единственото условие е Bluetooth да е активен на компютъра.

Относно уязвимостта

За атака, достатъчно е да знаете MAC адреса на устройството на жертвата, което може да се определи чрез проследяване или на някои устройства се изчислява въз основа на Wi-Fi MAC адреса.

Уязвимост присъства в компоненти, които обработват L2CAP пакети (Logical Link Control and Adaptation Protocol) на ниво ядро ​​на Linux.

При изпращане на специално изработен L2CAP пакет с допълнителни данни за A2MP канала, нападателят може да презапише дадена област от паметта map, което потенциално може да се използва за създаване на експлойт за изпълнение на произволен код на ниво ядро.

Когато се посочва CID, различен от L2CAP_CID_SIGNALING, L2CAP_CID_CONN_LESS и L2CAP_CID_LE_SIGNALING в пакета, манипулаторът 2cap_data_channel () се извиква в BlueZ, което за каналите в L2CAP_MODE_ERTM режимите на L_CAP_MCER_CAP_CAP_MODE_ERTM режимите L_CAP_MCER_CAP_MCER_CAP_MCER_CAP_MADE_ERTM режимите се матрира_CAP_MCER_MAPE (). За пакети с CID L2CAP_CID_A2MP няма канал, така че за създаването му се извиква функцията a2mp_channel_create (), която използва типа "struct amp_mgr" при обработка на полето за данни chan->, но типът за това поле трябва да бъде „Структурен чорап“.

Уязвимостта се появи след ядрото на Linux 4.8 И въпреки твърденията на Intel, той не е разгледан в наскоро пуснатата версия 5.9.

Матю Гарет, известен разработчик на ядро ​​на Linux, който получи награда от Фондацията за свободен софтуер за приноса си в разработването на свободен софтуер, твърди, че информацията в доклада на Intel е невярна и че ядрото 5.9 не включва правилните корекции. за да се коригира уязвимостта, кръпки бяха включени в клон linux-next, а не в клон 5.9).

Той също така изрази възмущение от политиката на Intel за разкриване на уязвимости: Разработчиците на дистрибуция на Linux не бяха уведомени за проблема преди издаването на доклада и нямаха възможност да експортират предварително корекции за своите пакети на ядрото.

Освен това в BlueZ са съобщени още две уязвимости:

• CVE-2020-24490 - Препълване на буфера на синтактичен анализ на HCI (hci_event.c). Отдалеченият атакуващ може да постигне препълване на буфер и изпълнение на код на ниво ядро ​​на Linux, като изпраща съобщения за излъчване. Атаката е възможна само на устройства, които поддържат Bluetooth 5, когато на тях е активен режимът на сканиране.
• CVE-2020-12352: Загуба на информация за стека по време на обработка на A2MP пакети. Проблемът може да бъде използван от нападател, който знае MAC адреса на устройство за извличане на данни от стека на ядрото, което потенциално може да съдържа чувствителна информация, като ключове за криптиране. Стекът може също да съдържа указатели, така че проблемът може да се използва за определяне на оформлението на паметта и заобикаляне на защитата на KASLR (рандомизиране на адреси) при експлойти за други уязвимости.

И накрая, беше обявено публикуването на експлойт прототип за проверка на проблема.

При дистрибуциите проблемът остава неизправен (Debian, RHEL (потвърдена уязвимост във версиите на RHEL от 7.4), SUSE, Ubuntu, Fedora).

Платформата Android не е засегната от проблема, тъй като използва собствен стек за Bluetooth, базиран на код от проекта BlueDroid на Broadcom.

Ако искате да научите повече за тази уязвимост, можете да се консултирате с подробностите В следващия линк.