Jak zabezpieczyć systemy Linux przed zdalnym atakiem BlueBorne?

19

Armis Lab odkrył nowy atak wektorowy na wszystkie urządzenia z obsługą Bluetooth, w tym systemy Linux i IoT.

Atak BlueBorne na system Linux

Armis ujawnił dwie luki w systemie operacyjnym Linux, które umożliwiają atakującym przejęcie pełnej kontroli nad zainfekowanymi urządzeniami. Pierwszym z nich jest luka polegająca na wycieku informacji, która może pomóc atakującemu ustalić dokładną wersję używaną przez docelowe urządzenie i odpowiednio dostosować jego exploit. Drugi to przepełnienie stosu, które może prowadzić do pełnej kontroli nad urządzeniem.

Na przykład wszystkie urządzenia z włączoną funkcją Bluetooth powinny być oznaczone jako złośliwe. Zainfekowane urządzenia utworzą złośliwą sieć, umożliwiając atakującemu przejęcie kontroli nad całym urządzeniem poza jego zasięgiem Bluetooth. Korzystanie z systemu Bluetooth w systemie Linux do podłączania urządzeń peryferyjnych (klawiatury, myszy, słuchawki itp.) Naraża Linux na różne zagrożenia.

Ten atak nie wymaga interakcji użytkownika, uwierzytelniania ani parowania, co czyni go praktycznie niewidocznym.

Luka związana z wyciekiem informacji ma wpływ na wszystkie urządzenia Linux z systemem BlueZ (CVE-2017-1000250).

Wszystkie moje Linux OS z włączoną funkcją Bluetooth są oznaczone jako podatne na ataki po sprawdzeniu za pomocą BlueBorne Vulnerability Scanner (aplikacja Android firmy Armis do wykrycia podatnego urządzenia wymaga włączenia wykrywania urządzenia, ale atak wymaga tylko włączenia Bluetooth).

Czy istnieje sposób na złagodzenie ataku BlueBorne podczas korzystania z Bluetooth w systemie Linux?

linux security bluetooth bluez vulnerability GAD3R
źródło
2
Wyłączenie BlueTooth może być dobrym początkiem.
Bob Jarvis - Przywróć Monikę
1
Jeśli musisz korzystać z bluetooth, poprawki zostały teraz zastosowane zarówno do BlueZ, jak i do jądra. Ale oznacza to również, że będziesz musiał skompilować i uruchomić jądro od zera.
danielunderwood

Odpowiedzi:

19

Skoordynowany termin ujawnienia luk w zabezpieczeniach BlueBorne to 12 września 2017 r .; wkrótce powinny pojawić się aktualizacje dystrybucji z poprawkami dotyczącymi problemów. Na przykład:

Dopóki nie będzie można zaktualizować jądra i BlueZ w systemach, których dotyczy problem, można złagodzić ten problem, wyłączając Bluetooth (co może oczywiście mieć negatywne skutki, szczególnie jeśli używasz klawiatury lub myszy Bluetooth):

  • umieść na czarnej liście podstawowe moduły Bluetooth

    printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf

  • wyłącz i zatrzymaj usługę Bluetooth

    systemctl disable bluetooth.service
systemctl mask bluetooth.service
systemctl stop bluetooth.service

  • usuń moduły Bluetooth

    rmmod bnep
rmmod bluetooth
rmmod btusb

    (Najprawdopodobniej na początku to się nie powiedzie z błędem wskazującym, że inne moduły z nich korzystają; musisz usunąć te moduły i powtórzyć powyższe polecenia).

Jeśli chcesz samodzielnie załatać i odbudować BlueZ i jądro, odpowiednie poprawki są dostępne tutaj dla BlueZ i tutaj dla jądra .

Stephen Kitt
źródło