Luka w zabezpieczeniach związana z zabezpieczeniami BleedingBit
Aby uzyskać więcej informacji, zobacz:
Firma Zebra nie zdaje sobie sprawy z żadnych aktywnych luk w zabezpieczeniach. Zalecamy jednak, aby klienci aktualizowali oprogramowanie dla dwóch produktów firmy Zebra, aby ograniczyć ryzyko ich wykorzystywania. Nie zostaną wprowadzone żadne dodatkowe aktualizacje LifeGuard.
BLEEDINGBIT to luka w zabezpieczeniach, która wpływa na chipy Bluetooth® niskiej energii (BLE) wykonane przez Texas Instruments. Składa się z dwóch powiązanych zdalnego sterowania exploitami problemów:
A memory corruption condition (CVE-2018-16986) that can occur during processing of incorrect network traffic from the BLE module. Złośliwy aktor, który znajduje się blisko urządzenia docelowego może wykonać dowolny kod, wysyłając nieprawidłowo sformułowane dane lub wykonać DoS (Denial-of-Service) warunek, który może zamknąć urządzenie.
An Over-The-Air Download (OAD) functionality issue (CVE-2018-7080) that can be triggered only when the relevant BLE radio function is enabled by the device owners (it is disabled by default). Złośliwy aktor może wypychać zmienione kopie tych obrazów, aby uzyskać kontrolę nad urządzeniem.
Produkty podlegające usterce
Dotyczy to tylko następujących dwóch produktów BLE. Nie ma to wpływu na urządzenia mobilne Zebra, urządzenia przenośne, skanery kodów kreskowych i drukarki.
| SKU produktu Zebra | Opis | Dostępna aktualizacja |
|---|---|---|
| GE-MB6000-01-WR | Mobilna odznaka BLE | January, 2019 |
| GE-MB5000-01-WR | Poprawiono odznakę BLE | January, 2019 |
Only the above Zebra devices are impacted by CVE-2018-16986 only and CVE-2018-7080 does not apply since the OAD feature in the Texas Instruments’ (TI) CC2640 BLE chip is disabled. The Zebra devices have an STMicroelectronics Microcontroller Unit (MCU) and BLE chip CC2640. Oprogramowanie układowe MCU jest napisane na CYPRESS WICED SDK. The firmware of the TI CC2640 is based on TI’s BLE SDK 2.1. The MCU connects to the CC2640 via a UART port. The MCU sends BLE HCI commands to the CC2640, the CC2640 does the BLE scanning continuously, and the CC2640 returns the scanned BLE packets in a predefined format to MCU.
During the scanning process, there is possible memory corruption in the CC2640 per CVE-2018-16986. If the CC2640 is exploited, it may send garbage data over the UART port to the MCU. MCU może lub nie może odrzucić dane, w zależności od samych danych. W ten sposób odznaka może stać się bezużyteczna, ponieważ nie ma prawidłowych danych pakietów BLE gromadzonych wewnątrz MCU.
Jeśli osoba atakująca chce uzyskać pełną kontrolę nad urządzeniem, osoba atakująca musi najpierw uzyskać kontrolę nad MCU. Osoba atakująca musiałaby znaleźć umożliwiającą włączenie luki w zabezpieczeniach w programie WICED SDK i MCU STM. The hacker would then need to attack the MCU through the exploited CC2640 chip via the UART port. Możliwość wykorzystania MCU (osiągnięte w połączeniu z wykorzystaniem nieodkrytych luk w obu Wicked SDK i STM MCU), aby uzyskać pełną kontrolę nad urządzeniem jest stosunkowo niska.
To avoid the potential of this vulnerability, Zebra must port the CC2640 firmware code to the TI BLE SDK 2.2.2. For new device this updated CC2640 firmware code can be used. For deployed devices the updated CC2640 firmware can be updated over-the-air through the MCU where the MCU pushes the new firmware to CC2640 via UART port.
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?