¿Cómo aseguro los sistemas Linux contra el ataque remoto BlueBorne?

19

Armis Lab ha descubierto un nuevo ataque vectorial que afecta a todos los dispositivos con Bluetooth habilitado, incluidos los sistemas Linux e IoT.

Ataque BlueBorne en Linux

Armis ha revelado dos vulnerabilidades en el sistema operativo Linux que permiten a los atacantes tomar el control completo sobre los dispositivos infectados. El primero es una vulnerabilidad de fuga de información, que puede ayudar al atacante a determinar la versión exacta utilizada por el dispositivo objetivo y ajustar su vulnerabilidad en consecuencia. El segundo es un desbordamiento de la pila que puede conducir al control total de un dispositivo.

Por ejemplo, todos los dispositivos con Bluetooth habilitado deben marcarse como maliciosos. Los dispositivos infectados crearán una red maliciosa que permitirá al atacante tomar el control de todos los dispositivos fuera de su alcance Bluetooth. El uso del sistema Bluetooth en Linux para conectar dispositivos periféricos (teclados, ratones, auriculares, etc.) pone a Linux bajo varios riesgos.

Este ataque no requiere ninguna interacción del usuario, autenticación o emparejamiento, por lo que también es prácticamente invisible.

Todos los dispositivos Linux que ejecutan BlueZ están afectados por la vulnerabilidad de fuga de información (CVE-2017-1000250).

Todos mis sistemas operativos Linux con Bluetooth habilitado se marcan como vulnerables después de una verificación con el Escáner de vulnerabilidades BlueBorne (la aplicación de Android de Armis para descubrir que el dispositivo vulnerable requiere habilitar el descubrimiento del dispositivo, pero el ataque solo requiere que el Bluetooth esté habilitado).

¿Hay alguna manera de mitigar el ataque BlueBorne cuando se usa Bluetooth en un sistema Linux?

GAD3R
fuente
2
Apagar BlueTooth podría ser un buen comienzo.
Bob Jarvis - Restablece a Monica el
1
Si necesita usar bluetooth, ahora se han aplicado correcciones tanto a BlueZ como al kernel. Pero eso también significa que tendrá que compilar y ejecutar un núcleo desde cero.
danielunderwood

Respuestas:

19

La fecha de divulgación coordinada para las vulnerabilidades de BlueBorne fue el 12 de septiembre de 2017; Debería ver actualizaciones de distribución con soluciones para los problemas poco después. Por ejemplo:

Hasta que pueda actualizar el kernel y BlueZ en los sistemas afectados, puede mitigar el problema deshabilitando Bluetooth (que podría tener efectos adversos, por supuesto, especialmente si usa un teclado o mouse Bluetooth):

  • poner en lista negra los módulos principales de Bluetooth

    printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf
    
  • deshabilitar y detener el servicio Bluetooth

    systemctl disable bluetooth.service
    systemctl mask bluetooth.service
    systemctl stop bluetooth.service
    
  • eliminar los módulos Bluetooth

    rmmod bnep
    rmmod bluetooth
    rmmod btusb
    

    (Esto probablemente fallará al principio con un error que indica que otros módulos los están utilizando; necesitará eliminar esos módulos y repetir los comandos anteriores).

Si desea parchear y reconstruir BlueZ y el núcleo usted mismo, las soluciones adecuadas están disponibles aquí para BlueZ y aquí para el núcleo .

Stephen Kitt
fuente