Vulnérabilité de sécurité BleedingBit

Zebra LifeGuard security logo

Pour plus d'informations, veuillez consulter :

Zebra n'est pas au courant des exploits actifs de cette vulnérabilité. Cependant, nous recommandons aux clients concernés de mettre à jour le logiciel pour les deux produits Zebra touchés afin d'atténuer le risque d'exploitation. Aucune mise à jour LifeGuard supplémentaire ne sera effectuée.

BleedingBit logo

BLEEDINGBIT est une vulnérabilité de sécurité qui affecte les puces Bluetooth® à faible consommation d'énergie (BLE) fabriquées par Texas Instruments. Il se compose de deux problèmes d'exploitation à distance connexes :

Une condition de corruption mémory (CVE-2018-16986) ce peut se produire during traitement du trafic réseau incorrect du module BLE. Un acteur malveillant qui est proche de l'appareil cible pourrait exécuter du code arbitraire en envoyant des données mal formées, ou exécuter une condition DoS (déni de service) qui pourrait arrêter l'appareil.

Une fonctionnalité Over-The-Air Download (OAD) issue (CVE-2018-7080) ce ne peut être déclenchée que lorsque la fonction radio BLE pertinente est activée par les propriétaires de l’appareil (elle est désactivée par défaut). Un acteur malveillant pourrait pousser des copies modifiées de ces images pour prendre le contrôle de l'appareil.

Produits touchés

Seuls les deux produits de badge BLE suivants sont concernés. Les appareils mobiles Zebra, les appareils portables, les scanners de codes à barres et les imprimantes ne sont pas touchés.

Produit Zebra SKU description Mise à jour disponible
GE-MB6000-01-WR Insigne BLE mobile Janvier, 2019
GE-MB5000-01-WR Insigne BLE fixe Janvier, 2019

Seuls les appareils Zebra ci-dessus sont impactés par CVE-2018-16986 seulement et CVE-2018-7080 ne s’applique pas puisque la fonction OAD dans la puce CC2640 BLE de Texas Instruments (TI) est désactivée. Les appareils Zebra sont munis d'une unité de microcontrôleur STMicroelectronics (MCU) et d'une puce BLE CC2640. Le firmware MCU est écrit sur CYPRESS WICED SDK. Le firmware du TI CC2640 est basé sur le BLE SDK 2.1 de TI. Le MCU se connecte au CC2640 via un port UART. Le MCU envoie des commandes BLE HCI au CC2640, le CC2640 effectue la numérisation BLE en continu, et le CC2640 renvoie les paquets BLE numérisés dans un format prédéfini à MCU.

Pendant le processus de numérisation, il y a une corruption possible de mémoire dans le CC2640 par CVE-2018-16986. Si le CC2640 est exploité, il peut envoyer des données sur les ordures au-dessus du port UART au MCU. Le MCU peut ou ne peut pas jeter les données, selon les données elles-mêmes. De cette façon, le badge pourrait devenir inutile car il n'y a pas de données de paquetS BLE valides à collecter à l'intérieur du MCU.

Si un attaquant veut prendre le contrôle total de l'appareil, l'attaquant doit d'abord prendre le contrôle du MCU. L'attaquant devrait également trouver une vulnérabilité habilitante dans WICED SDK et le STM MCU. Le pirate de l'informatique devait alors attaquer le MCU par l'intermédiaire de la puce CC2640 exploitée via le port UART. La possibilité d'exploiter le MCU (réalisé en conjonction avec l'exploitation de vulnérabilités inconnues dans le Wicked SDK et la STM MCU) pour prendre le contrôle total de l'appareil est relativement faible.

Pour éviter le potentiel de cette vulnérabilité, Zebra doit porter le code de firmware CC2640 au TI BLE SDK 2.2.2. Pour un nouvel appareil, ce code de firmware CC2640 mis à jour peut être utilisé. Pour les appareils déployés, le firmware CC2640 mis à jour peut être mis à jour en direct par l'intermédiaire du MCU où le MCU pousse le nouveau firmware au CC2640 via le port UART.

Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.

Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.



Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?