BleedingTooth: a BlueZ biztonsági rése, amely távoli kódfuttatást tesz lehetővé

A Google mérnökei megjelentek általuk azonosított bejegyzés útján súlyos sebezhetőség (CVE-2020-12351) a "BlueZ" Bluetooth-veremben amelyet Linux és Chrome OS disztribúciókban használnak.

A biztonsági rés, kódnevű BleedingTooth, lehetővé teszi egy illetéktelen támadó számára a kód kernel szintű végrehajtását Linux felhasználói beavatkozás nélkül speciálisan kialakított Bluetooth csomagok küldésével.

A problémát kihasználhatja egy támadó, aki a Bluetooth hatótávolságán belül van, és amellett, hogy a támadó eszköz és az áldozat között nincs szükség korábbi párosításra, az egyetlen feltétel, hogy a Bluetooth-nak aktívnak kell lennie a számítógépen.

A sebezhetőségről

Támadásért elég tudni az áldozat eszközének MAC-címét, amelyet nyomon követéssel lehet meghatározni, vagy egyes eszközökön a Wi-Fi MAC-cím alapján kiszámítható.

Sebezhetőség az L2CAP csomagokat feldolgozó komponensekben van jelen (Logical Link Control and Adaptation Protocol) Linux kernel szinten.

Speciálisan kialakított L2CAP csomag küldésekor további adatokkal az A2MP csatornára, a támadó felülírhat egy területet a memóriából leképezve, amely potenciálisan felhasználható egy kihasználás létrehozására tetszőleges kód kernel szintű végrehajtására.

Ha a csomagban megad egy CID-t, amely nem L2CAP_CID_SIGNALING, L2CAP_CID_CONN_LESS és L2CAP_CID_LE_SIGNALING, akkor a 2cap_data_channel () kezelőt BlueZ-ben hívják meg, amely az L2CAP_MODE_ERTM módú csatornák számára megegyezik a (). Azoknál a csomagoknál, amelyek CID L2CAP_CID_A2MP, nincs csatorna, ezért létrehozásához az a2mp_channel_create () függvényt hívják meg, amely a "struct amp_mgr" típust használja a chan-> adatmező feldolgozásakor, de ennek a mezőnek a típusának meg kell lennie "Struktúrás zokni".

A sérülékenység a Linux kernel 4.8 óta jelent meg És az Intel állításai ellenére a közelmúltban kiadott 5.9 változat nem foglalkozott vele.

Matthew Garrett, a Linux egyik ismert rendszermag-fejlesztője, aki díjat kapott a Free Software Foundation-től a szabad szoftverfejlesztéshez való hozzájárulásáért, azt állítja, hogy az Intel jelentésében szereplő információk helytelenek, és az 5.9-es kernel nem tartalmazza a megfelelő javításokat. a sebezhetőség kijavításához javításokat a linux-next ágba, nem pedig az 5.9-es ágba foglaltak).

Felháborodását fejezte ki az Intel biztonsági rések felfedésére vonatkozó politikája miatt is: a Linux disztribúció fejlesztőit a jelentés megjelenése előtt nem értesítették a problémáról, és nem volt lehetőségük a kernelcsomagjaik javításainak előzetes exportálására.

Ezenkívül további két sebezhetőséget azonosítottak a BlueZ-ben:

• CVE-2020-24490 - HCI elemzési kód puffer túlcsordulás (hci_event.c). A távoli támadó sugárzási bejelentések küldésével elérheti a puffertúlcsordulást és a kódfuttatást a Linux kern szintjén. A támadás csak azokon az eszközökön lehetséges, amelyek támogatják a Bluetooth 5-et, ha a szkennelési mód aktív rajtuk.
• CVE-2020-12352: Verem információvesztés az A2MP csomagfeldolgozás során. A problémát kihasználhatja az a támadó, aki ismeri az eszköz MAC-címét, és lekérheti az adatokat a kernel veremből, amelyek potenciálisan érzékeny információkat tartalmazhatnak, például titkosítási kulcsokat. A verem mutatókat is tartalmazhat, így a kérdés felhasználható a memória elrendezésének meghatározására és a KASLR (cím véletlenszerűsítés) védelmének megkerülésére más sebezhetőségek kihasználásakor.

Végül bejelentették egy, a probléma igazolására szolgáló prototípus publikálását.

A disztribúcióknál a probléma továbbra is hiányzik (Debian, RHEL (megerősített sebezhetőség az RHEL 7.4-es verzióiban), SUSE, Ubuntu, Fedora).

Az Android platformot nem érinti a probléma, mivel a saját Bluetooth-veremét használja, a Broadcom BlueDroid projektjének kódja alapján.

Ha többet szeretne tudni erről a biztonsági résről, olvassa el a részleteket A következő linken.