출혈비트 보안 취약점

Zebra LifeGuard security logo

자세한 내용은 다음을 참조하십시오.

Zebra는 이 취약점이 적극적으로 악용된 사례를 발견하지 못했습니다. 그러나 악용 위험을 완화하기 위해, 영향을 받은 두 Zebra 제품의 소프트웨어를 업데이트하는 것이 좋습니다. 추가 LifeGuard 업데이트는 없습니다.

BleedingBit logo

BLEEDINGBIT는 텍사스 인스트루먼트가 만든 Bluetooth® 저에너지(BLE) 칩에 영향을 미치는 보안 취약점입니다. 두 가지 관련 원격 제어 악용 문제로 구성됩니다.

메모리 손상 상태(CVE-2018-16986) 발생할 수 있습니다 BLE 모듈에서 잘못된 네트워크 트래픽을 처리하는 동안. 대상 장치에 가까운 악의적인 행위자는 잘못된 데이터를 전송하여 임의의 코드를 실행하거나 장치를 종료할 수 있는 DoS(서비스 거부) 조건을 실행할 수 있습니다.

OAD(Over-The-Air) 기능 문제 (CVE-2018-7080) 장치 소유자가 관련 BLE 라디오 기능을 활성화한 경우에만 트리거할 수 있습니다(기본적으로 비활성화됨). 악의적인 행위자도 이러한 이미지의 변경된 복사본을 푸시하여 장치를 제어할 수 있습니다.

영향을 받는 제품

다음 두 개의 BLE 배지 제품만 영향을 받습니다. Zebra 모바일 장치, 핸드헬드 장치, 바코드 스캐너 및 프린터는 영향을 받지 않습니다.

Zebra 제품 SKU 설명 업데이트 가능
GE-MB6000-01-WR 모바일 BLE 배지 1월 2019일
GE-MB5000-01-WR 고정 BLE 배지 1월 2019일

위의 Zebra 장치만 CVE-2018-16986의 영향을 받고 텍사스 인스트루먼트(TI) CC2640 BLE 칩의 OAD 기능이 비활성화되어 있기 때문에 CVE-2018-7080은 적용되지 않습니다. Zebra 장치에는 STMicroelectronics 마이크로 컨트롤러 장치(MCU) 및 BLE 칩 CC2640가 있습니다. MCU 펌웨어는 사이프러스 WICED SDK에 기록되어 있습니다. TI CC2640의 펌웨어는 TI의 BLE SDK 2.1을 기반으로 합니다. MCU는 UART 포트를 통해 CC2640에 연결됩니다. MCU는 BLE HCI 명령을 CC2640에 보내고, CC2640은 BLE 스캐닝을 지속적으로 수행하고, CC2640는 스캔한 BLE 패킷을 미리 정의된 형식으로 MCU로 반환합니다.

스캔 과정에서 CVE-2018-16986당 CC2640에서 메모리 손상이 발생할 수 있습니다. CC2640이 악용되면 UART 포트를 통해 MCU로 가비지 데이터를 보낼 수 있습니다. MCU는 데이터 자체에 따라 데이터를 삭제하거나 삭제하지 않을 수 있습니다. 이러한 방식으로 MCU 내에서 수집할 유효한 BLE 패킷 데이터가 없기 때문에 배지는 쓸모없게 될 수 있습니다.

공격자가 장치를 완전히 제어하려면 공격자가 먼저 MCU를 제어해야 합니다. 공격자는 WICED SDK 및 STM MCU에서도 사용 가능한 취약점을 찾아야 합니다. 그런 다음 해커는 UART 포트를 통해 악용된 CC2640 칩을 통해 MCU를 공격해야 합니다. MCU(사악한 SDK와 STM MCU 모두에서 발견되지 않은 취약점의 악용와 함께 달성됨)를 악용하여 장치를 완전히 제어할 가능성은 상대적으로 낮습니다.

이 취약점의 가능성을 방지하려면 Zebra는 CC2640 펌웨어 코드를 TI BLE SDK 2.2.2으로 이식해야 합니다. 새 장치의 경우 업데이트된 CC2640 펌웨어 코드를 사용할 수 있습니다. 배포된 장치의 경우 MCU가 UART 포트를 통해 새 펌웨어를 CC2640으로 푸시하는 MCU를 통해 업데이트된 CC2640 펌웨어를 공중파로 업데이트할 수 있습니다.

면책 조항: Zebra는 Google에서 해당 보안 공지를 릴리스하는 시점에 대한 보안 업데이트를 릴리스하려고 모든 시도를 합니다. 그러나 보안 업데이트의 배달 시간은 지역, 제품 모델 및 타사 소프트웨어 공급업체에 따라 달라질 수 있습니다. 경우에 따라 보안 업데이트를 설치하기 전에 OS를 최신 유지 관리 릴리스로 업데이트해야 합니다. 개별 제품 업데이트는 구체적인 지침을 제공합니다.

달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.



Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?