9月3日消息,商业蓝牙堆栈中的一个新的安全漏洞系列BrakTooth,影响了包括英特尔、高通和德州仪器在内的11家供应商的13款蓝牙芯片组,专家估计可能有1400多种商业产品受到影响。
这一系列问题影响了从消费电子产品到工业设备的各种设备。相关风险范围从拒绝服务、设备死锁到任意代码执行。
受影响的产品种类繁多
新加坡科技设计大学的研究人员发布了有关BrakTooth的详细信息,这是商业蓝牙堆栈中的一个新的安全漏洞系列,他们的名字来自挪威语“Brak”,意为“崩溃”。
BT SoC | 套件 / 产品 | 样本代码 | |
英特尔 (BT 5.2) | AX200 | 笔记本电脑 Forge15-R | N.A |
高通 (BT 5.2) | WCN3990 | 小米 Pocophone F1 | N.A |
Texas Instruments (BT 5.1) | CC2564C | CC256XCQFN-EM | SPPDMMultiDemo |
珠海捷力科技(BT 5.1) | AC6366C | AC6366C_DEMO_V1.0 | app_keyboard |
赛普拉斯 (BT 5.0) | CYW20735B1 | CYW920735Q60EVB-01 | rfcomm_serial_port |
Bluetrum Technology (BT 5.0) | AB5301A | AB32VG1 | 默认 |
珠海捷力科技 (BT 5.0) | AC6925C | XY-WRBT 模块 | N.A |
炬力 (BT 5.0) | ATS281X | 小米 MDZ-36-DB | N.A |
珠海捷力科技 (BT 4.2) | AC6905X | BT 音频接收器 | N.A |
乐鑫 (BT 4.2) | ESP32 | ESP-WROVER-KIT | bt_spp_acceptor |
哈曼国际 (BT 4.1) | JX25X | JBL TUNE500BT | N.A |
高通 (BT 4.0) | CSR 8811 | Laird DVK-BT900-SA | vspspp.server.at |
Silabs (BT 3.0+HS) | WT32i | DKWT32I-A | ai-6.3.0-1149 |
深入研究后,研究人员发现超过1400个产品列表受到BrakTooth的影响,该列表包括但不限于以下类型的设备:
智能手机
信息娱乐系统
笔记本电脑和台式机系统
音频设备(扬声器、耳机)
家庭娱乐系统
键盘
玩具
工业设备(例如可编程逻辑控制器 - PLC)
考虑到受影响的产品种类繁多,预计BrakTooth漏洞可能影响数十亿台设备。
研究人员表示,与BrakTooth安全漏洞集相关的风险范围包括通过破坏设备固件而导致的拒绝服务(DoS),或蓝牙通信出现死锁状态,以及任意代码执行。
要想发起BrakTooth攻击,需要一个ESP32开发工具包、一个定制的链路管理协议(Link Manager Protocol, LMP)固件和一台计算机来运行概念验证(proof-of-concept, PoC)工具。
以下是已知受影响供应商的列表:
BrakTooth攻击场景
研究人员发现了漏洞的三种主要攻击场景,其中最严重的会导致物联网 (IoT) 设备上的 ACE。
1.智能家居设备的任意代码执行
在BrakTooth的16个漏洞中,其中一个被跟踪为CVE-2021-28139,它的风险比其他漏洞更高,因为它允许任意代码执行。
该漏洞影响带ESP32 SoC电路的设备,该电路在许多用于家庭或工业自动化的物联网设备中使用。ESP32 SoC是一系列低成本、低功耗、集成Wi-Fi和双模蓝牙的SoC微控制器,由供应商Espressif提供。这些常见于用于工业自动化、智能家居设备、个人健身小工具等的物联网设备中。
2.DoSing 笔记本电脑和智能手机
第二种攻击场景可能会导致笔记本电脑和智能手机中的DoS。通过使用包含英特尔l AX200 SoC和高通WCN3990 SoC的设备可以触发这一点。攻击者可以通过 (a) 分页、(b) 发送格式错误的数据包和 (c) 在不发送 LMP_detach 的情况下断开连接来耗尽 SoC。
受影响的产品列表包括戴尔的笔记本电脑和台式机(Optiplex、Alienware)、微软Surface设备(Go 2、Pro 7、Book 3)和智能手机(例如 Pocophone F1、Oppo Reno 5G)。
3.BT音频产品冻结
在探测各种BT扬声器(特别是Mi便携式蓝牙扬声器 – MDZ-36-DB、BT耳机和BT音频模块)和无品牌BT音频接收器时发现了第三种攻击场景。
它们都受到一系列错误的影响(CVE-2021-31609 和 CVE-2021-31612,发送超大LMP 数据包时失败;CVE-2021-31613,截断数据包;CVE-2021-31611,启动程序外顺序;以及 CVE-2021-28135、CVE-2021-28155 和 CVE-2021-31717,功能响应泛滥)。
研究人员指出,对于小米MDZ-36-DB 和 JBL TUNE 500BT,这可以在用户播放音乐时实现攻击。
部分供应商或不进行修补漏洞
虽然其中一些供应商(例如乐鑫、英飞凌和 Bluetrum Technology)已经针对这些问题发布了补丁,但其他供应商已经承认存在缺陷并仍在开发补丁,或者正在调查影响。在某些情况下(例如高通的CSR8811和CSR8510 SoC或Texas Instruments的CC2564C),不会发布任何修复程序。
研究人员表示,攻击者可能能够通过使用运行自定义(不合规)LMP固件的廉价ESP32 开发工具包 (ESP-WROVER-KIT) 以及运行该漏洞的计算机来利用这些漏洞代码。
BrakTooth漏洞影响蓝牙栈的补丁状态
Braktooth收集中的漏洞针对的是LMP和基带层。目前,他们已经被分配了20个标识符,还有几个悬而未决,请参考以下16个问题:
功能页面执行(CVE-2021-28139 - 任意代码执行/死锁)
截断SCO链接请求(CVE-2021-34144 - 死锁)
重复IOCAP(CVE-2021-28136 - 崩溃)
功能响应泛滥(CVE-2021-28135、CVE-2021-28155、CVE-2021-31717 - 崩溃)
LMP 自动速率溢出(CVE-2021-31609、CVE-2021-31612 - 崩溃)
LMP 2-DH1 溢出(等待 CVE - 死锁)
LMP DM1 溢出(CVE-2021-34150 - 死锁)
接受截断的LMP(CVE-2021-31613 - 崩溃)
无效安装完成(CVE-2021-31611 - 死锁)
主机连接泛滥(CVE-2021-31785 - 死锁)
相同主机连接(CVE-2021-31786 - 死锁)
AU Rand洪路泛滥(CVE-2021-31610、CVE-2021-34149、CVE-2021-34146、CVE-2021-34143 - 崩溃/死锁)
最大插槽类型无效(CVE-2021-34145 - 崩溃)
最大插槽长度溢出(CVE-2021-34148 - 崩溃)
计时精度无效(CVE-2021-34147 和另外两个待处理的 CVE - 崩溃)
分页扫描死锁(等待 CVE - 死锁)
考虑到蓝牙漏洞可能影响范围广大,蓝牙漏洞尤其令人担忧。建议使用者密切关注蓝牙连接行为,并在确认有更新补丁时及时更新修补漏洞。
参读链接: