ブリーディングビットのセキュリティ脆弱性
詳細については、以下を参照してください。
Zebraは、この脆弱性の有効な悪用を認識しません。ただし、影響を受ける 2 つの Zebra 製品のソフトウェアを更新して、悪用のリスクを軽減することをお勧めします。追加のLifeGuardの更新は行いません。
ブリーディングビットは、テキサスインスツルメンツ製のブルートゥース®低エネルギー(BLE)チップに影響を与えるセキュリティ上の脆弱性です。これは、関連するリモートコントロールの悪用問題から成ります。
メモリ破損状態(CVE-2018-16986)発生する可能性がある BLEモジュールからの不正なネットワークトラフィックの処理中。悪意のあるアクターがターゲット デバイスに近い場合、不正なデータを送信して任意のコードを実行したり、DoS (サービス拒否) 状態を実行してデバイスをシャットダウンしたりする可能性があります。
オーバー・ザ・エアダウンロード (OAD) 機能 問題 (CVE-2018-7080) 関連する BLE 無線機能がデバイス所有者によって有効になっている場合にのみトリガーできます (デフォルトでは無効)。悪意のあるアクターは、これらのイメージの変更されたコピーをプッシュして、デバイスを制御する可能性があります。
影響を受ける製品
以下の 2 つの BLE バッジ製品のみが影響を受けます。Zebraモバイルデバイス、ハンドヘルドデバイス、バーコードスキャナ、プリンタは影響を受けしません。
| Zebra製品 SKU | 説明 | 利用可能な更新 |
|---|---|---|
| GE-MB6000-01-WR | モバイルBLEバッジ | 1月、2019日 |
| GE-MB5000-01-WR | 固定のBLEバッジ | 1月、2019日 |
上記のZebraデバイスのみがCVE-2018-16986の影響を受けテキサス・インスツルメンツ(TI)のCC2640 BLEチップのOAD機能が無効になっているため、CVE-2018-7080は適用されません。ZebraデバイスにはSTマイクロエレクトロニクスマイクロコントローラユニット(MCU)とBLEチップCC2640があります。MCUファームウェアはサイプレスWICED SDKに書かれています。TI CC2640 のファームウェアは、TI の BLE SDK 2.1 に基づいています。MCU は UART ポートを介して CC2640 に接続します。MCU は、BLE HCI コマンドを CC2640 に送信し、CC2640 は BLE スキャンを継続的に行い、CC2640 は事前定義された形式でスキャンされた BLE パケットを MCU に返します。
スキャン処理中に、cc2640 のメモリ破損が発生する可能性があります CVE-2018-16986。CC2640 が悪用された場合、UART ポートを介してガベージ データを MCU に送信する可能性があります。MCU は、データ自体に応じてデータを破棄する場合と破棄しない場合があります。この方法では、バッジは、MCU 内で収集する有効な BLE パケット データが存在しなくなっているため、役に立たなくなる可能性があります。
攻撃者がデバイスの完全な制御を取得する場合、攻撃者はまず MCU の制御を取得する必要があります。攻撃者は、WICED SDK および STM MCU にも、有効な脆弱性を見つける必要があります。ハッカーは、UARTポートを介して悪用されたCC2640チップを介してMCUを攻撃する必要があります。デバイスを完全に制御するためにMCU(Wicked SDKとSTM MCUの両方で未発見の脆弱性の悪用と組み合わせて達成される)を利用する可能性は比較的低いです。
この脆弱性の可能性を回避するために、ZebraはCC2640ファームウェアコードをTI BLE SDK 2.2.2に移植する必要があります。新しいデバイスの場合、この更新されたCC2640ファームウェアコードを使用できます。展開されたデバイスの場合、更新された CC2640 ファームウェアは、MCU を通じて無線で更新でき、そこで MCU は UART ポートを介して新しいファームウェアを CC2640 にプッシュします。
免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OS を最新のメンテナンス リリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。
特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。
Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?