Vulnerabilità di sicurezza BleedingBit

Zebra LifeGuard security logo

Per ulteriori informazioni, consultare:

Zebra non è a conoscenza di alcuna azione attiva di questa vulnerabilità. Tuttavia, si consiglia ai clienti interessati di aggiornare il software per i due prodotti di zebra interessati per ridurre il rischio di sfruttamento. Non verranno effettuati ulteriori aggiornamenti di LifeGuard.

BleedingBit logo

BLEEDINGBIT è una vulnerabilità di sicurezza che colpisce i chip Bluetooth® a bassa energia (BLE) realizzati da Texas Instruments. Si compone di due problemi di exploit di controllo remoto correlati:

Può verificarsi una condizione di danneggiamento della memoria (CVE-2018-16986 durante l'elaborazione del traffico di rete non corretto dal modulo BLE. Un attore malintenzionato che si trova vicino al dispositivo di destinazione potrebbe eseguire codice arbitrario inviando dati in formato non corretto o eseguire una condizione DoS (Denial of Service) che potrebbe arrestare il dispositivo.

Una funzionalità Over-The-Air Download (OAD problema (CVE-2018-7080) che può essere attivato solo quando la funzione radio BLE pertinente è abilitata dai proprietari dei dispositivi (è disattivata per impostazione predefinita). Un attore maligno potrebbe spingere copie alterate di queste immagini per ottenere il controllo del dispositivo.

Prodotti interessati

Sono interessati solo i seguenti due prodotti badge BLE. I dispositivi mobili, i dispositivi palmari, gli scanner di codici a barre e le stampanti Zebra non sono interessati.

SKU del prodotto zebra descrizione Aggiornamento disponibile
GE-MB6000-01-WR Badge BLE Mobile Gennaio, 2019 gennaio
GE-MB5000-01-WR Badge BLE Fisso Gennaio, 2019 gennaio

Solo i suddetti dispositivi zebra sono interessati da CVE-2018-16986 solo e CVE-2018-7080 non si applica poiché la funzione OAD nel chip CC2640 BLE di Texas Instruments (TI) è disattivata. I dispositivi Zebra dispongono di un'unità microcontrollore STMicroelectronics (MCU) e di un chip BLE CC2640. Il firmware MCU è scritto su CYPRESS WICED SDK. Il firmware del TI CC2640 si basa su BLE SDK 2.1 di TI. La MCU si connette al CC2640 tramite una porta UART. La MCU invia comandi BLE HCI al CC2640, il CC2640 esegue la scansione BLE continuamente e CC2640 restituisce i pacchetti BLE scansionati in un formato predefinito a MCU.

Durante il processo di scansione, vi è un possibile danneggiamento della memoria nel CC2640 per CVE-2018-16986. Se il CC2640 viene sfruttato, può inviare dati spazzatura sulla porta UART alla MCU. La MCU può o non può eliminare i dati, a seconda dei dati stessi. In questo modo, il badge potrebbe diventare inutile in quanto non vi sono dati validi del pacchetto BLE da raccogliere all'interno della MCU.

Se un utente malintenzionato desidera ottenere il controllo completo del dispositivo, l'utente malintenzionato deve prima ottenere il controllo della MCU. L'utente malintenzionato dovrebbe trovare una vulnerabilità abilitante anche in WICED SDK e in STM MCU. L'hacker avrebbe quindi bisogno di attaccare la MCU attraverso il chip CC2640 sfruttato tramite la porta UART. La possibilità di sfruttare la MCU (ottenuta in concomitanza con lo sfruttamento di vulnerabilità non scoperte sia in Wicked SDK che in STM MCU) per ottenere il pieno controllo del dispositivo è relativamente bassa.

Per evitare il potenziale di questa vulnerabilità, Zebra deve trasferire il codice firmware CC2640 in TI BLE SDK 2.2.2. Per il nuovo dispositivo è possibile utilizzare questo codice firmware CC2640 aggiornato. Per i dispositivi distribuiti, il firmware CC2640 aggiornato può essere aggiornato via etere attraverso la MCU dove la MCU spinge il nuovo firmware a CC2640 tramite la porta UART.

Disclaimer: Zebra fa ogni tentativo di rilasciare gli aggiornamenti di sicurezza il o circa il momento in cui Google rilascia il suo rispettivo bollettino sulla sicurezza. Tuttavia, i tempi di consegna degli aggiornamenti della sicurezza possono variare a seconda dell'area geografica, del modello prodotto e dei fornitori di software di terze parti. In alcune circostanze, il sistema operativo deve essere aggiornato alla versione di manutenzione più recente prima di installare gli aggiornamenti della protezione. I singoli aggiornamenti dei prodotti forniranno indicazioni specifiche.

Se non diversamente specificato, non sono state rilevate segnalazioni di sfruttamento attivo da parte dei clienti o abusi da questi problemi segnalati di recente.



Sei a conoscenza di un potenziale problema di sicurezza con un prodotto di Zebra Technologies?