歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

還記得BlueBorne嗎?一年過去了,仍有20億藍牙設備的漏洞沒有修復

來源:本站整理 作者:佚名 時間:2018-09-25 TAG: 我要投稿

去年這個時候,國外安全廠商Armis公布了8個藍牙漏洞,可讓黑客無視藍牙版本完全控制設備和數據。Armis將這一組漏洞合為名叫“BlueBorne”的攻擊媒介。當時,BlueBorne的殺傷范圍幾乎涵蓋所有具備藍牙功能的Android、Linux、Windows和iOS設備。自從漏洞披露之后,各大廠商一直在穩步推送相關更新。但根據Armis的估算,仍有超過20億的設備仍然暴露在風險之中,它們沒有進行更新,或者壓根就接收不到更新補丁。
讓我們回顧一下BlueBorne并了解一下現狀。

什么是BlueBorne?
BlueBorne是去年九月Armis實驗室發布的一組由藍牙漏洞組成的攻擊媒介名稱,危及支持藍牙功能的移動、桌面和物聯網操作系統,包括Android、iOS、Windows和Linux等設備,包含以下8個漏洞:
Linux內核RCE漏洞 – CVE-2017-1000251
Linux藍牙堆棧(BlueZ)信息泄漏漏洞 – CVE-2017-1000250
Android信息漏洞漏洞 – CVE-2017-0785
Android RCE漏洞#1 – CVE-2017-0781
Android RCE漏洞#2 – CVE-2017-0782
Android Bluetooth Pineapple邏輯缺陷-CVE-2017-0783
Windows Bluetooth Pineapple邏輯缺陷-CVE-2017-8628
Apple低功耗音頻協議RCE漏洞 – CVE-2017-14315
憑借這些漏洞,黑客能夠通過無線方式利用藍牙協議攻擊和控制設備、訪問數據和網絡,甚至滲透到某些安全的物理隔離網絡,并在設備間傳播惡意軟件。 期間攻擊者無需與目標設備進行配對,并且目標設備沒有設置為可發現模式也不在話下,這一點就厲害了。
BlueBorne有多危險?
BlueBorne無需物理鏈路,只要無線信號即可投入攻擊,就像感冒病毒一樣,BlueBorne通過空氣從一個設備“傳染到”另一個設備。它瞄準了目前網絡防御中極度薄弱的地方,可能也是沒有針對性安全措施保護的地方。由于藍牙進程在所有操作系統上都具有高權限,因此利用它可以實現對設備的完全控制。
對黑客來說,這樣的特性揉合在一起就像一個大禮包一樣,適用面相當廣泛,比如說網絡間諜、數據盜竊、勒索、甚至構建由多種類型設備組成的超大規模僵尸網絡。此外,BlueBorne可入侵與互聯網等網絡進行物理隔離的系統和設備,光這一點大部分攻擊手段都難望其項背。
舉個例子,黑客可以使用Blueborne實現遠程代碼執行或中間人攻擊:
與傳統的惡意軟件攻擊不同,用戶無需單擊鏈接或下載可疑文件,啟動攻擊無需誘騙用戶采取任何操作。
通過空氣傳播使得攻擊更具傳染性,并且難以發現。
物理隔離的工業系統、政府機構和關鍵基礎設施面臨極高的風險。
現狀如何?
數十億設備仍處在威脅之中
當ARMIS公布了BlueBorne后,許多供應商都發布了針對這些缺陷的補丁和軟件更新。但是據Armis估算,至少有20億臺設備的漏洞沒有得到修復。包括:
運行Linux的7.68億臺設備
運行Android 5.1(Lollipop)和更早版本的7.34億臺設備
運行Android 6(Marshmallow)和更早版本的2.61億臺設備
運行受影響的的Windows版本的2億臺設備
運行iOS 9.3.5及更早版本的5000萬臺設備
這些設備有些未修復,而有些不可修復,范圍涵蓋服務器、可穿戴設備、工業設備到醫療設備等。按照Armis的說法,其中很大一部分原因是企業不知道內部有多少支持藍牙功能的設備。因此在進行商業活動是,無論是員工和訪客處于漏洞未修復的環境中時都會面臨重大風險。
補丁仍然需要花費大量時間進行部署
在發現漏洞和威脅時,廠商可能需要數周、數月甚至更長時間才能部署更新。去年四月Armis就通知了受影響的供應商,五個月后才披露了BlueBorne。讓我們來看一下BlueBorne披露時間表和廠商推送最終用戶補丁的時間節點。
2017年9月12日:Armis與Google、Linux和Microsoft就BlueBorne進行了首次公開披露。
當月,谷歌向合作伙伴發布補丁,Linux發布補丁信息,微軟向所有受影響的Windows設備推送補丁;
2017年10月3日:21天后,Verizon向旗下發售的收集推送了補丁;
2017年10月8日:華為發布安全建議并更新有關受影響設備的信息;
2017年10月10日:Verizon推送了第二波補丁;
2017年10月13日:AT&T推送了Nexus 6和LG V10的更新;
2017年10月30日:AT&T的第二波更新補丁到達特定用戶的設備;
2018年1月8日:Verizon推送第三波補丁;
2018年6月7日:聯想為一些老款安卓平板電腦升級固件以修復漏洞。
同時,iOS 10及更高版本不受BlueBorne的影響,但以前的版本受到影響并且仍未修補。
2017年年11月14日:第二次公開BlueBorne披露
Armis對BlueBorne漏洞做了第二次公開披露,這次影響了1500萬臺Amazon Echo和500萬臺Google Home設備。亞馬遜和谷歌自動將補丁推送到Echo和Google Home設備。
短短幾個月就可以看到許多供應商的努力和進步,Amazon和Google改進了系統的更新機制,比如Google的Project Treble項目實現了Android操作系統的模塊化,使得供應商能夠更輕松、更快地向最終用戶推送關鍵安全更新。
但是,大量設備仍然難以及時得到更新,原因包括以下三點:
并非所有Android設備都支持Project Treble,必須要通過廠商自己的方式進行更新。
目前仍在使用的設備中有些已經被淘汰了,或者是不再得到支持(包括2.09億臺的iOS設備),根本無法接收更新。
運行的Linux的設備(如醫療設備和工業設備)很難或無法打補丁。
正如下圖所示,像BlueBorne這樣的漏洞需要很長的時間才會消亡。特別是安卓和Linux設備的曲線拖了很長的尾巴:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视