Vulnerabilidade de segurança do BleedingBit

Zebra LifeGuard security logo

Para mais informações, por favor, consulte:

A zebra não tem conhecimento de quaisquer explorações activas desta vulnerabilidade. No entanto, recomendamos que os clientes em questão atualizem o software para os dois produtos zebra impactados para mitigar o risco de exploração. Nenhuma atualização adicional do LifeGuard será feita.

BleedingBit logo

BLEEDINGBIT é uma vulnerabilidade de segurança que afeta os chips Bluetooth® de baixa energia (BLE) feitos pela Texas Instruments. Consiste em duas edições relacionadas do Exploit do controle remoto:

Uma condição de corrupção de memória (CVE-2018-16986) que pode ocorrer durante o processamento do tráfego de rede incorreto do módulo BLE. Um ator mal-intencionado que está próximo ao dispositivo de destino pode executar código arbitrário enviando dados malformados ou executar uma condição DoS (negação de serviço) que poderia desligar o dispositivo.

Uma funcionalidade OD (Over-The-Air Download) issue (CVE-2018-7080) que só pode ser acionada quando a função de rádio BLE relevante é ativada pelos proprietários do dispositivo (está desativada por padrão). Um ator malicioso poderia empurrar cópias alteradas dessas imagens para ganhar o controle do dispositivo.

Produtos afetados

Somente os dois produtos de crachá BLE a seguir são afetados. Dispositivos móveis zebra, dispositivos portáteis, scanners de código de barras e impressoras não são afetados.

Produto SKU da zebra Descrição Atualização disponível
GE-MB6000-01-WR Crachá Mobile BLE 2019 de janeiro
GE-MB5000-01-WR Emblema fixo do BLE 2019 de janeiro

Apenas os dispositivos Zebra acima são impactados por CVE-2018-16986 apenas e o CVE-2018-7080 não se aplica, uma vez que o recurso OAD no chip CC2640 BLE da Texas Instruments (TI) está desativado. Os dispositivos da zebra têm uma unidade do microcontrolador de STMicroelectronics (MCU) e o chip BLE CC2640. O firmware MCU é escrito em CYPRESS WICED SDK. O firmware do TI CC2640 é baseado em TI ' s BLE SDK 2,1. O MCU conecta ao CC2640 através de um porto de UART. O MCU envia comandos BLE HCI ao CC2640, o CC2640 faz a varredura do BLE continuamente, e o CC2640 retorna os pacotes digitalizados do BLE em um formato predefinido a MCU.

Durante o processo de digitalização, há possível corrupção de memória no CC2640 por CVE-2018-16986. Se o CC2640 é explorado, pode emitir dados do lixo sobre a porta UART ao MCU. O MCU pode ou não pode descartar os dados, dependendo dos dados propriamente dito. Desta maneira, o emblema poderia tornar-se inútil porque não há nenhum dado válido do pacote do BLE para recolher dentro do MCU.

Se um invasor quiser obter controle total do dispositivo, o invasor precisa primeiro obter o controle do MCU. O invasor precisaria encontrar uma vulnerabilidade de habilitação no WICED SDK e o STM MCU também. O hacker precisaria então de atacar o MCU através da microplaqueta explorada de CC2640 através do porto de UART. A possibilidade de explorar o MCU (conseguido conjuntamente com a exploração de vulnerabilidades não descobertas no SDK mau e no STM MCU) para ganhar o controle cheio sobre o dispositivo é relativamente baixa.

Para evitar o potencial dessa vulnerabilidade, a Zebra deve portar o código de firmware CC2640 para o TI BLE SDK 2.2.2. Para o novo dispositivo, este código de firmware CC2640 atualizado pode ser usado. Para dispositivos implantados o firmware CC2640 actualizado pode ser actualizado através do ar através do MCU onde o MCU empurra o firmware novo a CC2640 através do porto de UART.

Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.

Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.



Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?