Chatear con nosotros
Cargador
Estableciendo conexión, espere mientras le conectamos.

Vulnerabilidad de seguridad BleedingBit

Logotipo de seguridad de Zebra LifeGuard

Para obtener más información, consulte:

Zebra no es consciente de ningún exploit activo de esta vulnerabilidad. Sin embargo, recomendamos a los clientes interesados actualizar el software de los dos productos Zebra afectados para mitigar el riesgo de explotación. No se realizarán actualizaciones adicionales de LifeGuard.

Logotipo de BleedingBit

BLEEDINGBIT es una vulnerabilidad de seguridad que afecta a Bluetooth® chips de baja energía (BLE) fabricados por Texas Instruments. Consiste en dos problemas de explotación de control remoto relacionados:

Una condición de corrupción de memoria (CVE-2018-16986) que puede ocurrir procesamiento permanente del tráfico de red incorrecto del módulo BLE. Un actor malintencionado que está cerca del dispositivo de destino podría ejecutar código arbitrario mediante el envío de datos con formato incorrecto o ejecutar una condición DoS (denegación de servicio) que podría apagar el dispositivo.

Una funcionalidad de descarga sobre el aire (OAD problema (CVE-2018-7080) que solo se puede activar cuando los propietarios de dispositivos habilitan la función de radio BLE correspondiente (está deshabilitada de forma predeterminada). Un actor malintencionado podría empujar copias alteradas de estas imágenes para obtener el control del dispositivo.

Productos afectados

Solo se ven afectados los dos productos de insignia BLE siguientes. Los dispositivos móviles Zebra, los dispositivos portátiles, los escáneres de códigos de barras y las impresoras no se ven afectados.

SKU de producto Zebra Descripción Actualización disponible
GE-MB6000-01-WR Insignia BLE móvil 2019 de enero
GE-MB5000-01-WR Insignia BLE fija 2019 de enero

Solo los dispositivos Zebra anteriores se ven afectados por CVE-2018-16986 solamente y CVE-2018-7080 no se aplica ya que la función OAD del chip CC2640 BLE de Texas Instruments está desactivada. Los dispositivos Zebra tienen una unidad de microcontrolador STMicroelectronics (MCU) y un chip BLE CC2640. El firmware MCU está escrito en CYPRESS WICED SDK. El firmware del TI CC2640 se basa en BLE SDK 2.1 de TI. El MCU conecta con el CC2640 vía un puerto UART. El MCU envía los comandos BLE HCI al CC2640, el CC2640 hace el escaneo BLE continuamente, y el CC2640 vuelve los paquetes BLE escaneados en un formato predefinido al MCU.

Durante el proceso de escaneo, hay posible daño de memoria en el CC2640 por CVE-2018-16986. Si se explota el CC2640, puede enviar los datos de la basura sobre el puerto UART al MCU. El MCU puede o no descartar los datos, dependiendo de los datos en sí. De esta manera, la insignia podría llegar a ser inútil mientras que no hay datos válidos del paquete BLE para recoger dentro del MCU.

Si un atacante quiere obtener el control total del dispositivo el atacante necesita primero obtener el control del MCU. El atacante tendría que encontrar una vulnerabilidad habilitante en WICED SDK y el STM MCU también. El hacker entonces tendría que atacar el MCU a través del chip CC2640 explotado a través del puerto UART. La posibilidad de explotar el MCU (logrado junto con la explotación de vulnerabilidades no descubiertas en el SDK de Wicked y el STM MCU) para obtener el control total sobre el dispositivo es relativamente baja.

Para evitar el potencial de esta vulnerabilidad, Zebra debe transferir el código de firmware CC2640 al TI BLE SDK 2.2.2. Para el nuevo dispositivo se puede utilizar este código de firmware CC2640 actualizado. Para los dispositivos desplegados el firmware actualizado CC2640 se puede actualizar por aire a través del MCU donde el MCU empuja el nuevo firmware al CC2640 vía el puerto UART.

Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.

A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.



¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?