Luka w zabezpieczeniach związana z zabezpieczeniami BleedingBit

Zebra LifeGuard security logo

Aby uzyskać więcej informacji, zobacz:

Firma Zebra nie zdaje sobie sprawy z żadnych aktywnych luk w zabezpieczeniach. Zalecamy jednak, aby klienci aktualizowali oprogramowanie dla dwóch produktów firmy Zebra, aby ograniczyć ryzyko ich wykorzystywania. Nie zostaną wprowadzone żadne dodatkowe aktualizacje LifeGuard.

BleedingBit logo

BLEEDINGBIT to luka w zabezpieczeniach, która wpływa na chipy Bluetooth® niskiej energii (BLE) wykonane przez Texas Instruments. Składa się z dwóch powiązanych zdalnego sterowania exploitami problemów:

Warunek memory (CVE-2018-16986) który może wystąpić podczas przetwarzania nieprawidłowego ruchu sieciowego z modułu BLE. Złośliwy aktor, który znajduje się blisko urządzenia docelowego może wykonać dowolny kod, wysyłając nieprawidłowo sformułowane dane lub wykonać DoS (Denial-of-Service) warunek, który może zamknąć urządzenie.

Funkcja Over-The-Air Download (OAD issue (CVE-2018-7080) które mogą być wyzwalane tylko wtedy, gdy odpowiednia funkcja radia BLE jest włączona przez właścicieli urządzeń (jest domyślnie wyłączona). Złośliwy aktor może wypychać zmienione kopie tych obrazów, aby uzyskać kontrolę nad urządzeniem.

Produkty podlegające usterce

Dotyczy to tylko następujących dwóch produktów BLE. Nie ma to wpływu na urządzenia mobilne Zebra, urządzenia przenośne, skanery kodów kreskowych i drukarki.

SKU produktu Zebra Opis Dostępna aktualizacja
GE-MB6000-01-WR Mobilna odznaka BLE Styczeń, 2019 w
GE-MB5000-01-WR Poprawiono odznakę BLE Styczeń, 2019 w

Tylko powyższe urządzenia zebra są dotknięte CVE-2018-16986 tylko i CVE-2018-7080 nie ma zastosowania, ponieważ funkcja OAD w chipie Texas Instruments (TI) CC2640 BLE jest wyłączona. Urządzenia Zebra wyposażone są w moduł mikrokontrolera STMicroelectronics (MCU) i chip BLE CC2640. Oprogramowanie układowe MCU jest napisane na CYPRESS WICED SDK. Firmware TI CC2640 opiera się na TI 's BLE SDK 2,1. MCU łączy się z CC2640 przez port UART. MCU wysyła polecenia BLE HCI do CC2640, CC2640 wykonuje skanowanie BLE w sposób ciągły, a CC2640 zwraca zeskanowane pakiety BLE w predefiniowanym formacie do MCU.

Podczas procesu skanowania możliwe jest uszkodzenie pamięci w CC2640 na CVE-2018-16986. Jeśli CC2640 jest wykorzystywana, może wysyłać dane śmieci przez port UART do MCU. MCU może lub nie może odrzucić dane, w zależności od samych danych. W ten sposób odznaka może stać się bezużyteczna, ponieważ nie ma prawidłowych danych pakietów BLE gromadzonych wewnątrz MCU.

Jeśli osoba atakująca chce uzyskać pełną kontrolę nad urządzeniem, osoba atakująca musi najpierw uzyskać kontrolę nad MCU. Osoba atakująca musiałaby znaleźć umożliwiającą włączenie luki w zabezpieczeniach w programie WICED SDK i MCU STM. Następnie haker musiałby zaatakować MCU poprzez wykorzystany chip CC2640 przez port UART. Możliwość wykorzystania MCU (osiągnięte w połączeniu z wykorzystaniem nieodkrytych luk w obu Wicked SDK i STM MCU), aby uzyskać pełną kontrolę nad urządzeniem jest stosunkowo niska.

Aby uniknąć potencjalnej usterki, firma Zebra musi przenieść kod oprogramowania układowego CC2640 na moduł TI BLE SDK 2.2.2. W przypadku nowego urządzenia można użyć zaktualizowanego kodu oprogramowania układowego CC2640. W przypadku wdrożonych urządzeń zaktualizowane oprogramowanie sprzętowe CC2640 może być aktualizowane za pośrednictwem MCU, gdzie MCU wypycha nowe oprogramowanie sprzętowe do CC2640 za pośrednictwem portu UART.

Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.

O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.



Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?