BleedingBit Sicherheitsschwachstelle
Weitere Informationen finden Sie unter:
Zebra ist sich keiner aktiven Ausnutzung dieser Schwachstelle bewusst. Wir empfehlen jedoch betroffenen Kunden, die Software für die beiden betroffenen Zebra-Produkte zu aktualisieren, um das Risiko der Missbräuche zu minimieren. Es wird keine zusätzlichen Updates für LifeGuard geben.
BLEEDINGBIT ist eine Sicherheitslücke, die Bluetooth® Low Energy (BLE) Chips hergestellt von Texas Instruments betrifft. Sie besteht aus zwei zusammenhängenden Schwachstellen des Fernzugriffs:
Eine Beschädigung des Speichers (CVE-2018-16986), die bei der Verarbeitung von fehlerhaftem Netzwerkverkehr im BLE-Modul auftreten kann. Ein Angreifer, der sich in der Nähe des Zielgeräts befindet, könnte einen beliebigen Code ausführen, indem er manipulierte Daten sendet, oder einen DoS-Angriff (Denial-of-Service) ausführen, der das Gerät abschalten könnte.
Eine Schwachstelle der Over-The-Air Download-Funktion (OAD) (CVE-2018-7080), die nur ausgenutzt werden kann, wenn die entsprechende BLE-Funktion von den Geräteinhabern aktiviert wurde (diese ist standardmäßig deaktiviert). Ein Angreifer könnte veränderte Kopien dieser Bilder verschieben, um die Kontrolle über das Gerät zu erlangen.
Betroffene Produkte
Nur die folgenden beiden BLE-Badge-Produkte sind betroffen. Mobile Geräte, tragbare Geräte, Barcode-Scanner und Drucker von Zebra sind nicht betroffen.
| Zebra-Produkt-Artikelnummern | Beschreibung | Update erhältlich |
|---|---|---|
| GE-MB6000-01-WR | Mobiles BLE Badge | Januar 2019 |
| GE-MB5000-01-WR | Fixiertes BLE Badge | Januar 2019 |
Nur die oben genannten Zebra-Geräte sind von CVE-2018-16986 betroffen und CVE-2018-7080 trifft nicht zu, da die OAD-Funktion im CC2640 BLE-Chip von Texas Instruments (TI) deaktiviert ist. Die Zebra-Geräte verfügen über eine ST Microelectronics Microcontroller Unit (MCU) und einen BLE-Chip CC2640. Die MCU-Firmware wurde von CYPRESS WICED SDK geschrieben. Die Firmware des TI CC2640 basiert auf dem BLE SDK 2.1 von TI. Die MCU verbindet sich über einen UART-Anschluss mit dem CC2640. Die MCU sendet BLE-HCI-Befehle an die CC2640, die CC2640 führt das BLE-Scannen kontinuierlich aus, und die CC2640 gibt die gescannten BLE-Pakete in einem vordefinierten Format an die MCU zurück.
Während des Scanvorgangs ist eine Speicherbeschädigung im CC2640 via CVE-2018-16986 möglich. Wenn der CC2640 ausgenutzt wird, kann er Datenmüll über den UART-Port an die MCU senden. Die MCU kann die Daten in Abhängigkeit der jeweiligen Daten verwerfen oder nicht. Auf diese Weise könnte das Badge nutzlos werden, da innerhalb der MCU keine gültigen BLE-Paketdaten gesammelt werden können.
Wenn ein Angreifer die volle Kontrolle über das Gerät erlangen will, muss der Angreifer zunächst die Kontrolle über die MCU übernehmen. Der Angreifer müsste eine Aktivierungsschwachstelle im WICED SDK und auch im STM MCU finden. Der Hacker müsste dann die MCU über den ausgebeuteten CC2640-Chip über den UART-Port angreifen. Die Wahrscheinlichkeit, die MCU auszunutzen (was in Verbindung mit der Ausnutzung unentdeckter Schwachstellen sowohl im Wicked SDK als auch in der STM MCU erreicht wird), um die volle Kontrolle über das Gerät zu erlangen, ist relativ gering.
Um das Potenzial dieser Schwachstelle zu vermeiden, muss Zebra den CC2640-Firmware-Code auf das TI BLE SDK 2.2.2 portieren. Für neue Geräte kann dieser aktualisierte CC2640-Firmware-Code verwendet werden. Für eingesetzte Geräte kann die aktualisierte CC2640-Firmware über die MCU over-the-air aktualisiert werden, wobei die MCU die neue Firmware über den UART-Anschluss auf CC2640 schiebt.
Haftungsausschluss: Zebra unternimmt jeden Versuch, Sicherheitsupdates zum gleichen oder annähernd gleichen Zeitpunkt wie die entsprechenden öffentlichen Sicherheitsbulletins von Google zu veröffentlichen. Wann die Sicherheitsupdates bereitgestellt werden, kann jedoch je nach Region, Produktmodell und Software-Drittanbieter variieren. Unter bestimmten Umständen muss das Betriebssystem vor der Installation der Sicherheitsupdates auf die neueste Wartungsversion aktualisiert werden. Für individuelle Produktaktualisierungen gelten spezifische Anleitungen.
Sofern nicht anders angegeben, gibt es keine Berichte über aktive schädliche Nutzung oder Missbrauch dieser neu gemeldeten Probleme.
Sind Sie sich eines möglichen Sicherheitsproblems bei einem Produkt von Zebra Technologies bewusst?