Cisco, Meraki und Arbua betroffen Schwachstellen in TI-Bluetooth-Chips ermöglicht Hacker-Angriffe

Die US-Security-Firma Armis hat zwei Schwachstellen identifiziert,die Access Points und potenziell andere non-managed Devices betreffen. Sie werden "BLEEDINGBIT" genannt und treten im Zusammenhang mit der Verwendung von BLE-Chips (Bluetooth Low Energy) von Texas Instruments in Erscheinung.

Die Chips sind unter anderem in bestimmte Zugangspunkte eingebaut, die Wi-Fi für Unternehmensnetzwerke von Cisco, Meraki und Aruba bereitstellen. Diese drei Hersteller halten zusammen fast 70% des Gesamtmarktes.

Diese Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer, unbemerkt in Unternehmensnetzwerke einzudringen. Sobald ein Angreifer die Kontrolle über einen Access Point übernimmt, kann er sich seitlich zwischen den Netzwerksegmenten bewegen und eine Brücke zwischen ihnen schlagen - so wird die Netzwerksegmentierung effektiv unterbrochen. Armis hat die Probleme TI und den betroffenen Anbietern mitgeteilt.

Beide von Armis identifizierten Schwachstellen beziehen sich auf den Einsatz von BLE-Chips. Neben dem Einsatz in Netzwerkgeräten wie Access Points verwenden Ärztezentren die BLE für das Tracking von Objekten, Einzelhändler sowohl für POS-Geräte als auch für Indoor-Navigationsanwendungen. BLE wird auch in neuen Smart Locks von Hotelketten, Büros und Smart Homes eingesetzt und sogar im Auto.

Die BLEEDINGBIT-Schwachstellen beleuchten zwei wichtige ungelöste Probleme der Cybersicherheit: die schlecht gesicherten Netzwerkinfrastrukturgeräte sowie die Einbettung und Nutzung von Hard- und Software, die von Drittanbietern entwickelt wurden, in Produkte.

Netzwerkgeräte sind ein einzigartiges Phänomen in der heutigen Cyberlandschaft. Obwohl sie mit allen wichtigen Informationen umgehen, die geschützt werden sollen, haben sie selbst wenig oder gar keinen Schutz, insbesondere im Vergleich zu PCs und mobilen Geräten. Während PCs und mobile Plattformen über Betriebssysteme (OSs) verfügen, haben Netzwerkgeräte nur ein begrenztes Betriebssystem, wenn überhaupt. Dies macht es viel einfacher, die in ihnen gefundenen Schwachstellen auszunutzen, während sie beim PC und auf dem Handy oft unerreichbar sind und somit keine echte Bedrohung darstellen. Während andere Plattformen durch Endgerätesicherheitsmaßnahmen geschützt sind, die auf jahrelanger Erfahrung im Kampf gegen Cyber-Bedrohungen beruhen, werden Netzwerkgeräte nicht durch solche Sicherheitsmaßnahmen geschützt.

Ein weiteres Problem, das durch die Schwachstellen auftritt, ist die Verwendung von Hard- und Software, die von Drittanbietern entwickelt wurde. Die meisten Anbieter integrieren verschiedene Chips, die nicht von ihnen entwickelt wurden, und haben daher nur begrenzte Möglichkeiten, sie zu kontrollieren und zu überprüfen. Durch die Einbettung dieser "Blackboxen" ermöglichen die Anbieter potenziellen Schwachstellen, ihre Geräte ohne ihr Wissen oder angemessene Vorsichtsmaßnahmen zu beeinträchtigen.

Chips, die Wi-Fi, BLE oder andere drahtlose Protokolle bedienen, führen  Code aus, der Schwachstellen enthalten kann. Wenn diese Schwachstellen gefunden werden, bieten sie Angreifern einen Brückenkopf, von dem sie sich leicht auf den Hauptprozessor ausbreiten und das gesamte Gerät übernehmen können. Dies ist möglich, da die Verteidigung zwischen verschiedenen Komponenten des Geräts laxer ist als die der externen. In einigen Fällen können diese Chips auch der Hauptprozessor des Geräts sein, was bedeutet, dass eine Ausnutzung des Chips direkt zu seiner vollständigen Kontrolle führen würde.

Anbieter können auch Chips, die nicht von ihnen entwickelt wurden, quasi missbrauchen, was zu Sicherheitsproblemen wie der identifizierten OAD BLEEDINGBIT-Schwachstelle führt.

Ein unauthentifizierter und unentdeckter Angriff

BLEEDINGBIT ist die neueste Ergänzung der wachsenden Zahl von Over-the-Air-Bedrohungen, wie BlueBorne, KRACK Attack, die Broadcom-Schwachstellen und viele andere. Da die BLEEDINGBIT-Schwachstellen die BLE-Chips betreffen, die für die drahtlose Kommunikation verantwortlich sind, können sie im Gegensatz zu den meisten Angriffen über das Internet aus der Ferne genutzt werden. Dies ermöglicht es einem nicht authentifizierten Täter, in ein sicheres Netzwerk einzudringen, in dem er nicht Mitglied ist. Over-the-Air-Angriffe sind aus mehreren Gründen für Angreifer von Vorteil. Erstens ermöglichen sie es ihnen, praktisch unbemerkt zu arbeiten, da traditionelle Sicherheitsmaßnahmen sie nicht erkennen können. Zweitens sind sie von Natur aus ansteckend, so dass sich der Angriff auf alle Geräte in der Nähe der ersten Verletzung ausbreiten kann.

Unternehmen nutzen seit langem die Netzwerksegmentierung als Strategie, um den Zugang zu wichtigen Ressourcen zu kontrollieren. Unternehmenseigene "vertrauenswürdige" Computer sind im Unternehmensnetzwerk erlaubt, wobei Authentifizierungsprotokolle und Whitelist-Geräte wie Drucker und einige andere verwendet werden. Alle anderen Geräte (BYOD und IoT) befinden sich in Gastnetzen oder separaten VLANs. Die Segmentierung selbst beruht jedoch auf Netzwerkgeräten, die sie implementieren. Angriffe wie BLEEDINGBIT, die auf diese Geräte abzielen, können die Netzwerksegmentierung effektiv umgehen. Sobald Angreifer die Netzwerkgeräte kontrollieren, erhalten sie gleichzeitigen Zugriff auf alle Netzwerksegmente und können sogar die Segmentierung ganz eliminieren, was beweist, dass Unternehmen nicht nur von der Netzwerksegmentierung abhängig sind.

Wer ist in Gefahr?

In erster Linie gefährden die BLEEDINGBIT-Schwachstellen Unternehmen, die gefährdete Zugangspunkte in ihren Netzwerken nutzen. Über Zugangspunkte hinaus ist der Gesundheitssektor potenziell von diesen Schwachstellen betroffen, da die betroffenen BLE-Chips in vielen medizinischen Geräten wie Insulinpumpen und Herzschrittmachern verwendet werden. Selbst private Benutzer können von den Schwachstellen betroffen sein, wenn sie ein IoT-Gerät verwenden, das einen der gefährdeten Chips einbindet. Armis ist immer noch dabei, die vollen Auswirkungen von BLEEDINGBIT auf Geräte zu untersuchen, die mehrere Sektoren bedienen.

Wie funktionieren die BLEEDINGBIT-Schwachstellen?

Die erste BLEEDINGBIT RCE (Remote Code Execution) Schwachstelle befindet sich in einem TI-Chip, der in vielen Geräten integriert ist. Die Schwachstelle kann von einem Angreifer in der Nähe des betroffenen Geräts ausgenutzt werden, sofern dessen BLE eingeschaltet ist, ohne weitere Voraussetzungen oder Kenntnisse über das Gerät. Zuerst sendet der Angreifer mehrere gutartige BLE-Broadcast-Nachrichten, sogenannte "Advertising Packages", die im Speicher des anfälligen BLE-Chips in dem Zielgerät gespeichert werden. Die Pakete sind zwar nicht schädlich, enthalten aber Code, der später vom Angreifer aufgerufen wird. Diese Aktivität wird von traditionellen Sicherheitslösungen nicht erkannt.

Als nächstes sendet der Angreifer das Overflow-Paket, bei dem es sich um ein Standard-Advertising-Paket mit einer subtilen Änderung handelt - ein bestimmtes Bit in seinem Header ist eingeschaltet statt ausgeschaltet. Dieses Bit bewirkt, dass der Chip die Informationen aus dem Paket einem viel größeren Speicherplatz zuweist, als es wirklich benötigt, was zu einem Überlauf des kritischen Speichers im Prozess führt. Der übergelaufene Speicher enthält Funktionszeiger-Speicher, der auf bestimmte Codesegmente verweist, die der Angreifer nutzen kann, um auf den Code zu verweisen, den er in der vorherigen Phase des Angriffs an den anfälligen Chip gesendet hat.

An dieser Stelle kann der Angreifer bösartigen Code auf dem Zielgerät ausführen und eine Hintertür auf dem anfälligen Chip installieren, die auf weitere Befehle über BLE wartet. Der Angreifer kann auch das Verhalten des BLE-Chips ändern und den Hauptprozessor des Geräts angreifen, wodurch er die volle Kontrolle darüber erhält. Im Falle eines Access Points kann der Angreifer, sobald er die Kontrolle erlangt hat, alle von ihm bedienten Netzwerke erreichen, unabhängig von einer Netzwerksegmentierung. Darüber hinaus kann der Angreifer das Gerät in seiner Kontrolle verwenden, um sich seitlich auf jedes andere Gerät in seiner Nähe auszudehnen und einen echten Over-the-Air-Angriff zu starten.

Die Sicherheitslücke ist in diesen TI-Chips vorhanden, wenn das Scannen verwendet wird (z.B. Beobachterrolle oder zentrale Rolle, die das Scannen durchführt), in den folgenden Geräte/Software-Kombinationen:

  •     CC2640 (nicht R2) mit BLE-STACK Version 2.2.1 oder einer früheren Version; oder
  •     CC2650 mit BLE-STACK Version 2.2.1 oder einer früheren Version; oder
  •     CC2640R2F mit SimpleLink CC2640R2 SDK Version 1.00.00.00.22 (BLE-STACK 3.0.0.0); oder
  •     CC1350 mit SimpleLink CC13x0 SDK Version 2.20.00.38 (BLE-STACK 2.3.3) oder einer früheren Version.

Die folgenden TI-Chips wurden als nicht von dieser potenziellen Schwachstelle betroffen identifiziert:

  •     Automotive Qualifiziert CC2640R2F-Q1
  •     CC2540/CC2541 Geräte auf jeder BLE-STACK Version
  •     CC2640R2 SDK Version 1.30.00.25 oder höher oder CC1352/CC26x2 auf jeder unterstützten SDK Version.
  •     CC2640 oder CC2650 auf jedem unterstützten BLE-STACK SDK Version 2.2.2.2.
  •     Jede Konfiguration, die kein BLE-Scannen durchführt.

Betroffene Access Points sind:

  •     Cisco Access Points:
    •         Cisco 1800i Aironet Zugangspunkte
    •         Cisco 1810 Aironet Zugangspunkte
    •         Cisco 1815i Aironet Zugangspunkte
    •         Cisco 1815m Aironet Access Points
    •         Cisco 1815w Aironet Zugriffspunkte
    •         Cisco 4800 Aironet Zugangspunkte
    •         Cisco 1540 Aironet Series Outdoor Access Point für den Außenbereich
  •     Meraki Access Points:
    •         Meraki MR30H AP AP
    •         Meraki MR33 AP AP
    •         Meraki MR42E AP AP
    •         Meraki MR53E AP AP
    •         Meraki MR74

Die RCE-Schwachstelle betrifft einen der folgenden BLE-Chips von TI, sofern der Hersteller sich dafür entscheidet, die OAD-Funktion in sein Gerät aufzunehmen:

  •     cc2642r
  •     cc2640r2
  •     cc2640
  •     cc2650
  •     cc2540
  •     cc2541

Betroffene Access Points:

  •     Zugangspunkte der Serien AP-3xx und IAP-3xx
  •     AP-203R
  •     AP-203RP
  •     ArubaOS 6.4.4.4.4.x vor 6.4.4.4.20
  •     ArubaOS 6.5.3.x vor 6.5.3.9
  •     ArubaOS 6.5.4.x vor 6.5.4.9
  •     ArubaOS 8.x vor 8.2.2.2.2.2.2
  •     ArubaOS 8.3.x vor 8.3.0.4

Armis hat verschiedene Hersteller, die möglicherweise betroffen sind, sowie den Hersteller der gefährdeten Chips und das CERT/CC kontaktiert, um zu versuchen, alle potenziell betroffenen Geräte zu identifizieren.

Armis kontaktierte Texas Instruments am 20. Juni 2018. Durch die Diskussionen wurde festgestellt, dass TI mit dem Fehler, der die Schwachstelle verursacht hat, vertraut war, und eine Korrektur in BLE-STACK 2.2.2.2 veröffentlicht. Armis identifizierte es jedoch als Sicherheitsproblem. Nach der Benachrichtigung arbeiteten die Unternehmen zusammen, um die entsprechenden Updates für den Patch herauszugeben und die Ankündigungen zu koordinieren. Cisco wurde am 24. Juli 2018 über die Problematik informiert.

BLEEDINGBIT OAD RCE Schwachstelle

Armis kontaktierte TI auch wegen der OAD-Schwachstelle. TI wies darauf hin, dass das OAD-Feature von Anbietern bei der Herstellung von Geräten überhaupt nicht verwendet werden sollte. Am 9. Juli meldete Armis das Problem an Aruba, das das Feature in den von ihm hergestellten Access Points verwendete.

Die zweite BLEEDINGBIT-Schwachstelle war spezifisch für die Aruba Access Point Series 300 und ihre Nutzung der OAD-Funktion (Over the Air Firmware Download) von TI. Dieses Problem ist technisch gesehen eine Hintertür in BLE-Chips, die entwickelt wurde, um Firmware-Updates zu ermöglichen. Die OAD-Funktion wird häufig als Entwicklungswerkzeug verwendet, ist aber in einigen Produktionszugangspunkten aktiv. Es kann einem Angreifer in der Nähe ermöglichen, auf eine völlig neue und andere Version der Firmware zuzugreifen und diese zu installieren - und so das Betriebssystem des BLE-Chips neu zu schreiben, wenn es vom Hersteller nicht korrekt implementiert wurde.

Standardmäßig ist die OAD-Funktion nicht automatisch für sichere Firmware-Updates konfiguriert. Es ermöglicht einen einfachen Aktualisierungsmechanismus der auf dem BLE-Chip laufenden Firmware über eine GATT-Transaktion. Im Falle der Zugangspunkte von Aruba wurde ein fest kodiertes Passwort hinzugefügt (das für alle Aruba APs, die BLE unterstützen, identisch ist), um zu verhindern, dass die OAD-Funktion von Angreifern leicht missbraucht wird.

Ein Angreifer, der das Passwort durch Reverse-Engineering der BLE-Firmware von Aruba erworben hat, kann sich jedoch an einem anfälligen Zugangspunkt mit dem BLE-Chip verbinden und eine bösartige Firmware mit dem eigenen Code des Angreifers hochladen, was eine vollständige Neuschreibung des Betriebssystems ermöglicht und somit die volle Kontrolle darüber erlangt. Von diesem Zeitpunkt an ist das bösartige Potenzial identisch mit dem der ersten Schwachstelle.

Es wurde von TI ein BLE-STACK-Update veröffentlicht und ist für Kunden öffentlich zugänglich.

  •     Für Kunden, die CC2640 (nicht R2) und CC2650 mit BLE-STACK Version 2.2.1 oder früher verwenden: Update auf Version 2.2.2.2.
  •     Für Kunden, die CC2640R2F verwenden, mit SimpleLink CC2640R2 SDK Version 1.00.00.00.22 (BLE-STACK 3.0.0): Update auf SimpleLink CC2640R2F SDK Version 1.30.00.25 (BLE-STACK 3.0.1) oder höher.
  •     Für Kunden, die CC1350 verwenden, mit SimpleLink CC13x0 SDK Version 2.20.00.38 (BLE-STACK 2.3.3) oder früher: Update auf SimpleLink CC13x0 SDK Version 2.30.00.20 (BLE-STACK 2.3.4) oder später.

Kunden, die eine Kombinationen aus Geräten, Software und Scan-Modus verwenden, sollten anhand der Art und Weise, wie sie verwendet werden, feststellen, ob ihre Anwendung betroffen ist und ob Software-Updates innerhalb ihrer Endanwendung möglich sind. Der Handlungsbedarf wird wahrscheinlich je nach Anwendungsfall des jeweiligen Endprodukts variieren.

Es wird empfohlen, sicherzustellen, dass die OAD-Funktionalität nicht in Live- und Produktionsumgebungen ohne die entsprechende Sicherheitsmaßnahme aktiv ist.