Armis découvre deux vulnérabilités dans des puces Bluetooth basse consommation utilisées par des millions d'appareils

L'équipe de chercheurs en sécurité d'Armis, une entreprise spécialisée dans la sécurité IoT, a identifié deux vulnérabilités critiques sur des puces utilisées notamment dans les points d'accès Wi-Fi. Les chercheurs ont baptisé cette combinaison de failles BleedingBit. Un attaquant pourrait les exploiter pour exécuter du code à distance, compromettre totalement un point d'accès Wi-Fi et rebondir sur un réseau d'entreprise. L’attaque est peu complexe à mettre en place, ne nécessite ni privilèges ni interactions avec un utilisateur, mais requiert un accès au réseau Wi-Fi dudit point d'accès. L’impact estimé sur la confidentialité, l’intégrité et la disponibilité est élevé.

Les deux vulnérabilités affectent des puces Bluetooth basse consommation (BLE) fabriquées par Texas Instrument (TI). Celles-ci sont présentes dans des équipements réseau développés entre autres par Cisco, Aruba et Meraki. Sur le segment des points d'accès Wi-Fi, ces trois entreprises représentaient 70% du marché en 2017 selon un rapport de NPD Group. Pour le moment, seuls ces équipements ont pu être identifiés comme vulnérables, cependant les puces BLE sont intégrées dans de plus en plus d’appareils, comme des équipements médicaux ou dans l'IoT, la surface d'attaque pourrait donc être bien plus grande.

Le Bluetooth basse consommation est une technique de transmission sans fil des données consommant beaucoup moins d’énergie que le Bluetooth classique tout en conservant la même distance de communication. Cela rend donc les puces BLE particulièrement intéressantes pour l'IoT.

Ces vulnérabilités ont été découvertes en janvier puis rapportées au constructeur Texas Instrument en juin, ce qui a permis la sortie d'un correctif cette semaine. Les fournisseurs de point d'accès comme Cisco, Meraki et Aruba ont également fourni des mises à jour et affirment que sur leurs appareils, le Bluetooth est désactivé par défaut. Selon les informations d’Armis, les vulnérabilités n'auraient pas été exploitées. Du fait de leur criticité, il est fortement recommandé aux administrateurs d’appliquer les correctifs dès que possible.

Détails Techniques

Les deux vulnérabilités ont été référencées comme suit :

  • CVE-2018-7080 [CVSS : 8.8] : Cette vulnérabilité est spécifique aux points d'accès Aruba. Armis indique que les puces BLE développées par TI proposent une fonctionnalité de mise à jour sans fil, ici utilisée par Aruba comme porte dérobée afin de permettre des mises à jour du micrologiciel pendant le développement du produit. Son exploitation permettrait à un attaquant de réécrire totalement par-dessus le micrologiciel. Cette fonctionnalité est protégée par un mot de passe codé en dur dans le logiciel, pouvant être récupérée par l'attaquant, mais elle n'est pas censée être activée par défaut.
  • CVE-2018-16986 [CVSS : 7.1] : Cette vulnérabilité affecte les produits utilisant les puces CC2640 et CC2650 fournies par TI, dont l'exploitation pourrait permettre d’exécuter du code à distance. Pour cela, un attaquant devrait, dans un premier temps, envoyer des messages BLE broadcast, qui vont être stockés par les appareils vulnérables dans leur mémoire. Par la suite, l'attaquant peut envoyer un paquet spécialement conçu qui va déclencher un dépassement de tampon, pouvant permettre d’exécuter le code injecté préalablement en mémoire. Il est alors possible d'installer une porte dérobée sur le point d'accès.
Informations
+

Risques

  • Exécution de code à distance

Criticité

  • Score CVSS : 8.8 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Il n'existe pas à ce jour de code publiquement disponible permettant d'exploiter la vulnérabilité.

Composants & versions vulnérables

  • Point d'accès Cisco Aironet, versions 8.7.102.0 ou 8.7.106.0

CVE

  • CVE-2018-16986
  • CVE-2018-7080

Recommandations
+

Mise en place de correctif de sécurité

  • Texas Instrument a publié la version 2.2.2 de BLE-STACK pour corriger la vulnérabilité.

  • Pour Cisco, les points d'accès AIronet ont reçu la mise à jour 8.8.100.

  • Pour les points d'accès Meraki, la faille est corrigée à partir de la mise à jour MR 25.13.

  • Pour Aruba, se référer au bulletin constructeur.

Solution de contournement

 

  • Aruba propose de désactiver le BLE radio sur ses produits. En revanche, Cisco ne propose pas de solution de contournement.