Як захистити системи Linux від віддаленої атаки BlueBorne?

Лабораторія Armis виявила нову векторну атаку, яка впливає на всі пристрої з підтримкою Bluetooth, включаючи системи Linux та IoT.

Атака BlueBorne на Linux

Armis виявила дві вразливості в операційній системі Linux, які дозволяють зловмисникам повністю контролювати заражені пристрої. Перший - це вразливість інформації щодо витоку інформації, яка може допомогти зловмиснику визначити точну версію, яка використовується цільовим пристроєм, і відповідно налаштувати його експлуатацію. Друга - це переповнення стека, що може призвести до повного контролю пристрою.

Наприклад, усі пристрої з підтримкою Bluetooth повинні бути позначені як зловмисні. Заражені пристрої створять шкідливу мережу, яка дозволяє зловмиснику взяти під контроль всі пристрої поза його діапазоном Bluetooth. Використання системи Bluetooth в Linux для підключення периферійних пристроїв (клавіатур, мишей, навушників тощо) піддає Linux різним ризикам.

Ця атака не вимагає ніякої взаємодії з користувачем, автентифікації чи сполучення, що робить його також практично непомітним.

На всі пристрої Linux, на яких працює BlueZ, впливає вразливість витоку інформації (CVE-2017-1000250).

Усі мої ОС Linux із включеним Bluetooth позначені як вразливі після перевірки за допомогою сканера вразливості BlueBorne (додаток Android від Armis для виявлення вразливого пристрою вимагає ввімкнення пристрою для виявлення, але для атаки потрібно лише активувати Bluetooth).

Чи є спосіб пом'якшити атаку BlueBorne при використанні Bluetooth в системі Linux?

— GAD3R
джерело

Відключення BlueTooth може бути хорошим початком.

— Боб Джарвіс - Відновіть Моніку

Якщо вам потрібно використовувати Bluetooth, тепер виправлення застосовані як до BlueZ, так і до ядра. Але це також означає, що вам доведеться компілювати та запускати ядро з нуля.

— danielunderwood

Узгодженою датою розкриття інформації про вразливості BlueBorne була 12 вересня 2017 року; незабаром після цього ви побачите оновлення дистрибуції з виправленнями проблем. Наприклад:

RHEL
Debian CVE-2017-1000250 та CVE-2017-1000251

Поки ви не зможете оновити ядро та BlueZ на постраждалих системах, ви можете пом'якшити проблему, відключивши Bluetooth (що, звичайно, може мати негативні наслідки, особливо якщо ви використовуєте клавіатуру Bluetooth або мишу):

чорний список основних модулів Bluetooth

printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf

відключити та зупинити послугу Bluetooth

systemctl disable bluetooth.service
systemctl mask bluetooth.service
systemctl stop bluetooth.service

видаліть модулі Bluetooth
```
rmmod bnep
rmmod bluetooth
rmmod btusb
```
(це, мабуть, спочатку не вдасться, якщо помилка вказує, що інші модулі використовують їх; вам потрібно буде видалити ці модулі та повторити вищевказані команди).

Якщо ви бажаєте самостійно виправити та відновити BlueZ та ядро, відповідні виправлення доступні тут для BlueZ та тут для ядра .

— Стівен Кітт
джерело