Como protejo os sistemas Linux contra o ataque remoto BlueBorne?

19

O Armis Lab descobriu um novo ataque vetorial que afeta todos os dispositivos com Bluetooth ativado, incluindo sistemas Linux e IoT.

Ataque BlueBorne no Linux

Armis divulgou duas vulnerabilidades no sistema operacional Linux, que permitem que os invasores assumam o controle completo dos dispositivos infectados. A primeira é uma vulnerabilidade de vazamento de informações, que pode ajudar o invasor a determinar a versão exata usada pelo dispositivo de destino e ajustar sua exploração de acordo. O segundo é um estouro de pilha que pode levar ao controle total de um dispositivo.

Por exemplo, todos os dispositivos com Bluetooth ativado devem ser marcados como maliciosos. Os dispositivos infectados criarão uma rede maliciosa, permitindo que o invasor assuma o controle de todos os dispositivos fora do alcance do Bluetooth. O uso do sistema Bluetooth no Linux para conectar dispositivos periféricos (teclados, mouses, fones de ouvido etc.) coloca o Linux sob vários riscos.

Esse ataque não requer interação do usuário, autenticação ou emparelhamento, tornando-o praticamente invisível.

Todos os dispositivos Linux executando o BlueZ são afetados pela vulnerabilidade de vazamento de informações (CVE-2017-1000250).

Todo o meu sistema operacional Linux com Bluetooth ativado é marcado como vulnerável após uma verificação no BlueBorne Vulnerability Scanner (o aplicativo Android da Armis para descobrir o dispositivo vulnerável requer a ativação da descoberta do dispositivo, mas o ataque exige apenas a ativação do Bluetooth).

Existe uma maneira de atenuar o ataque BlueBorne ao usar o Bluetooth em um sistema Linux?

linux security bluetooth bluez vulnerability GAD3R
fonte
2
Desativar o BlueTooth pode ser um bom começo.
Bob Jarvis - Reinstate Monica
1
Se você precisar usar o bluetooth, as correções já foram aplicadas ao BlueZ e ao kernel. Mas isso também significa que você terá que compilar e executar um kernel do zero.
Danielunderwood # 16/17

Respostas:

19

A data de divulgação coordenada das vulnerabilidades do BlueBorne era 12 de setembro de 2017; você verá atualizações de distribuição com correções para os problemas logo em seguida. Por exemplo:

Até que você possa atualizar o kernel e o BlueZ nos sistemas afetados, você pode atenuar o problema desativando o Bluetooth (que pode ter efeitos adversos, é claro, especialmente se você usar um teclado ou mouse Bluetooth):

  • lista negra dos principais módulos Bluetooth

    printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf

  • desativar e parar o serviço Bluetooth

    systemctl disable bluetooth.service
systemctl mask bluetooth.service
systemctl stop bluetooth.service

  • remova os módulos Bluetooth

    rmmod bnep
rmmod bluetooth
rmmod btusb

    (isso provavelmente falhará no início com um erro indicando que outros módulos os estão usando; será necessário remover esses módulos e repetir os comandos acima).

Se você deseja corrigir e reconstruir o BlueZ e o kernel, as correções apropriadas estão disponíveis aqui para o BlueZ e aqui para o kernel .

Stephen Kitt
fonte