Comment sécuriser les systèmes Linux contre l'attaque à distance BlueBorne?

19

L'Armis Lab a découvert une nouvelle attaque vectorielle affectant tous les appareils avec Bluetooth, y compris les systèmes Linux et IoT.

Attaque de BlueBorne sur Linux

Armis a révélé deux vulnérabilités dans le système d'exploitation Linux qui permettent aux attaquants de prendre le contrôle total des appareils infectés. Le premier est une vulnérabilité de fuite d'informations, qui peut aider l'attaquant à déterminer la version exacte utilisée par l'appareil ciblé et à ajuster son exploit en conséquence. Le second est un débordement de pile pouvant conduire au contrôle total d'un appareil.

Par exemple, tous les appareils avec Bluetooth activé doivent être marqués comme malveillants. Les appareils infectés créeront un réseau malveillant permettant à l'attaquant de prendre le contrôle de tous les appareils hors de sa portée Bluetooth. L'utilisation du système Bluetooth sur Linux pour connecter des périphériques (claviers, souris, écouteurs, etc.) expose le Linux à divers risques.

Cette attaque ne nécessite aucune interaction, authentification ou couplage de l'utilisateur, ce qui la rend également pratiquement invisible.

Tous les périphériques Linux exécutant BlueZ sont affectés par la vulnérabilité de fuite d'informations (CVE-2017-1000250).

Tous mes systèmes d'exploitation Linux avec Bluetooth activé sont marqués comme vulnérables après une vérification avec le BlueBorne Vulnerability Scanner (l'application Android d'Armis pour découvrir le périphérique vulnérable nécessite d'activer la découverte du périphérique, mais l'attaque ne nécessite que le Bluetooth pour être activé).

Existe-t-il un moyen d'atténuer l'attaque BlueBorne lors de l'utilisation de Bluetooth sur un système Linux?

GAD3R
la source
2
La désactivation de BlueTooth peut être un bon début.
Bob Jarvis - Reinstate Monica
1
Si vous devez utiliser Bluetooth, des correctifs ont maintenant été appliqués à BlueZ et au noyau. Mais cela signifie également que vous devrez compiler et exécuter un noyau à partir de zéro.
danielunderwood

Réponses:

19

La date de divulgation coordonnée des vulnérabilités BlueBorne était le 12 septembre 2017; vous devriez voir des mises à jour de distribution avec des correctifs pour les problèmes peu de temps après. Par exemple:

Jusqu'à ce que vous puissiez mettre à jour le noyau et BlueZ sur les systèmes affectés, vous pouvez atténuer le problème en désactivant Bluetooth (ce qui pourrait bien sûr avoir des effets négatifs, surtout si vous utilisez un clavier ou une souris Bluetooth):

  • liste noire des modules Bluetooth de base

    printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf
    
  • désactiver et arrêter le service Bluetooth

    systemctl disable bluetooth.service
    systemctl mask bluetooth.service
    systemctl stop bluetooth.service
    
  • retirer les modules Bluetooth

    rmmod bnep
    rmmod bluetooth
    rmmod btusb
    

    (cela échouera probablement au début avec une erreur indiquant que d'autres modules les utilisent; vous devrez supprimer ces modules et répéter les commandes ci-dessus).

Si vous souhaitez patcher et reconstruire BlueZ et le noyau vous-même, les correctifs appropriés sont disponibles ici pour BlueZ et ici pour le noyau .

Stephen Kitt
la source