360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器BLEEDINGBIT漏洞分析报告
- 2018-11-07 19:55:02
0x00 CVE-2018-16986
原理
BLE设备在LL层有5种状态,分别为 待机状态(standby)没有连接任何设备,没有传输和发送数据;广播状态(Advertiser/advertising);周期性广播;扫描状态(Scanner/scanning)主动寻找正在广播的设备;触发状态(Initiator/initiating):主动发起连接;连接状态(connected) 连接完成。
状态机如下:
主设备和从设备开始连接时,从设备从待机状态进入广播态,周期性发送广播包(advertising packets)。主设备会扫描从设备发送的广播包,对接收到的广播包进行处理。如需连接,主设备会主动发起连接从设备。连接完成后,主从设备都会进入连接态,进行数据通信。
广播包的的包结构如下:
其中长度域标识广播包数据载荷的长度,合法值为6 ~ 37。此取值范围由BLE协议所决定,但是6比特数的取值最大范围为64。 如果协议栈并未对广播包分配大于64字节的内存,且在接收到广播包时未判断长度域的有效性,就可能会造成缓存区的溢出。
研究人员可能构造了长度域非法的广播包,并利用了缓存区溢出漏洞进行攻击。
首先,攻击者发送多个合法广播包,这些包将被存储在目标设备的存储器上。这些包不是有害的,但它们包含稍后将由攻击者调用的代码。
接下来,攻击者发送溢出数据包,这个包使芯片从长度域得到的需要分配内存空间比它实际需要的空间要大,从而触发了内存溢出。泄漏的存储器包含函数指针——指向特定代码段的内存,攻击者可以利用这些代码段指向在攻击的前一阶段发送到易受攻击芯片的代码。
威胁描述
1. 距离受限。需要攻击者在蓝牙广播包覆盖范围内攻击。
2.只对主设备有效。由于漏洞是主设备在扫描广播时缓存溢出造成的,研究人员也并未披露从设备在接收扫描请求包或连接请求包时也会有此漏洞,因此该漏洞并不会对从设备造成影响。目前绝大多数BLE设备都是作为从机使用,该漏洞对于作为主机的设备和有角色切换应用的设备有较大威胁。
影响范围
1.CC2640(非 R2版本)和CC2650,且协议栈为V2.2.1或更早版本
2.CC2640R2F ,协议栈为simpleLink CC2640R2 SDK 1.00.00.22 (BLE-STACK 3.0.0)或更早版本的使用者
3.CC1350,协议栈为SimpleLink CC13x0 SDK version 2.20.00.38 (BLE-STACK 2.3.3) 或更早版本
缓解措施
TI已经更新协议栈,目前版本为V2.2.2。
1.使用CC2640(非 R2版本)和CC2650,且协议栈为V2.2.1或更早版本的使用者,建议将协议栈更新到V2.2.2
2.使用CC2640R2F ,协议栈为simpleLink CC2640R2 SDK 1.00.00.22 (BLE-STACK 3.0.0)或更早版本的使用者,建议将协议栈更新到SimpleLink CC2640R2F SDK version 1.30.00.25 (BLE-STACK 3.0.1) 或更高版本。
3.使用CC1350,协议栈为SimpleLink CC13x0 SDK version 2.20.00.38 (BLE-STACK 2.3.3) 或更早版本的使用者,建议将协议栈更新到SimpleLink CC13x0 SDK version 2.30.00.20 (BLE-STACK 2.3.4)或更高版本。
0x01 CVE-2018-7080
该漏洞针对于Aruba的Access Point 300 系列产品,该系列产品使用了TI 的BLE芯片并应用了芯片提供的OAD(Over the Air firmware Download)功能。
原理
OAD功能实际是为了芯片的固件升级而预留的后门。
TI的ODA分为安全的ODA和非安全的ODA两种。 安全的ODA指新下载的固件作为OAD过程的一部分进行身份验证。
Aruba的Access Point 300系列产品中,只应用了硬编码的密码对OTA过程进行保护,并未对下载的固件进行身份认证。研究人员发现通过Aruba官方下载的的固件或连接硬件可以恢复出硬编码密码,并且通过此密码访问BLE设备。
威胁描述
危害性较大。使用TI BLE芯片,应用了ODA功能且未对升级固件进行身份认证的产品可能会受到攻击。
影响范围
CC2642R
CC2640R2
CC2640
CC2650
CC2540
CC2541
Aruba
AP-3xx and IAP-3xx series access points
AP-203R
AP-203RP
ArubaOS 6.4.4.x prior to 6.4.4.20
ArubaOS 6.5.3.x prior to 6.5.3.9
ArubaOS 6.5.4.x prior to 6.5.4.9
ArubaOS 8.x prior to 8.2.2.2
ArubaOS 8.3.x prior to 8.3.0.4
0x02 后续
目前,上述漏洞的攻击细节尚未详细披露,我们后续将继续跟进漏洞情况。
0x03 时间线
2018-11-02 漏洞披露
2018-11-02 360CERT 发布漏洞预警
2018-11-07 360无线电安全研究院发布漏洞报告
京公网安备 11000002000006号