Revelan vulnerabilidades críticas de Bluetooth que afectan a millones de dispositivos
Investigadores han revelado un grupo de 16 diferentes vulnerabilidades denominadas colectivamente como BrakTooth. Las vulnerabilidades afectan a miles de millones de dispositivos que dependen de Bluetooth Classic (BT) para comunicarse.
Según un artículo académico de la Universidad de Singapur, las vulnerabilidades se encuentran en el conjunto BT comercial. Este es utilizado por al menos 1.400 componentes de chips integrados.
Las vulnerabilidades pueden conducir a una gran cantidad de tipos de ataques, principalmente denegación de servicio (DoS) a través de fallas de firmware (el término “Brak” en noruego significa “falla”). Una de las vulnerabilidades también puede provocar la ejecución de código arbitrario (ACE).
El equipo analizó 13 piezas de hardware BT de 11 proveedores. Hasta el momento, se han asignado 20 CVEs a través de ellos; con cuatro vulnerabilidades pendientes de asignaciones CVE de Intel y Qualcomm. Algunas de las vulnerabilidades están corregidas, otras están en proceso de corrección. Sin embargo, “es muy probable que BrakTooth afecte a muchos otros productos (más allá de los aproximadamente 1400 registros observados en la lista de Bluetooth)”, incluidos los sistemas en un chip (SoC) de BT, módulos BT o productos finales BT adicionales.
Potencialmente, miles de millones de dispositivos podrían verse afectados en todo el mundo.
A continuación, te muestro una tabla con las 16 vulnerabilidades:
Y aquí hay una lista de proveedores afectados conocidos:
Los investigadores descubrieron tres escenarios de ataque principales para las vulnerabilidades. El escenario más grave da como resultado ACE en dispositivos de Internet de las cosas (IoT).
Ejecución de código arbitrario para dispositivos domésticos inteligentes
La vulnerabilidad más crítica (CVE-2021-28139) afecta a los SoC ESP32. Esta es una serie de microcontroladores SoC de bajo costo y bajo consumo con Wi-Fi integrado y Bluetooth de modo dual, del proveedor Espressif.
Estos se encuentran comúnmente en dispositivos de IoT utilizados en la automatización de la industria, dispositivos domésticos inteligentes, dispositivos de fitness personales y más.
La falta de verificación fuera de los límites en la biblioteca ESP32 BT permite la recepción de un LMP_feature_response_ext mutado. Esto da como resultado la inyección de ocho bytes de datos arbitrarios fuera de los límites de la tabla de páginas de funciones extendidas.
Para explotarlo, un atacante que conoce el diseño del firmware de un dispositivo de destino puede escribir una dirección de función conocida (Dirección JMP) en el desplazamiento señalado por el campo Página de funciones.
Los investigadores obligaron con éxito a ESP32 a borrar los datos almacenados en la memoria de acceso aleatorio no volátil (NVRAM) de los dispositivos. También pudieron desactivar BT y Wi-Fi en el dispositivo; y lo más preocupante, controlar la entrada/salida de propósito general (GPIO) del dispositivo. GPIO se utiliza para comunicar las señales de ENCENDIDO/APAGADO recibidas de los interruptores conectados, o las lecturas digitales recibidas de los sensores conectados, a la CPU.
Computadoras portátiles y teléfonos inteligentes afectados
El segundo escenario de ataque puede conducir a DoS en computadoras portátiles y teléfonos inteligentes. Los investigadores pudieron lograr esto utilizando equipos que contienen SoC Intel AX200 y SoC Qualcomm WCN3990.
Una de las dos vulnerabilidades de DoS (CVE-2021-34147) existe debido a una falla en el SoC para liberar recursos al recibir un LMP_timing_accuracy_response no válido de un dispositivo BT conectado.
Los investigadores pudieron desconectar por la fuerza los dispositivos BT esclavos de las computadoras portátiles Windows y Linux. Y, provocar interrupciones en los auriculares BT en los teléfonos inteligentes Pocophone F1 y Oppo Reno 5G.
Otra vulnerabilidad DoS (CVE pendiente) afecta solo a los dispositivos que utilizan el SoC Intel AX200.
Se activa cuando se envía una LMP_timing_accuracy_request de gran tamaño (es decir, mayor de 17 bytes) a un esclavo AX200.
Esto corrompe temporalmente el firmware del AX200, que responde incorrectamente durante una conexión BT posterior y eventualmente desactiva el procedimiento de búsqueda de paginación. Por lo tanto, el escaneo del AX200 funciona, pero no se establece ninguna conexión desde un dispositivo BT externo.
Además de desconectar los dispositivos BT maestros conectados a una computadora portátil vulnerable y provocar fallas esporádicas del firmware BT, esta situación también se puede utilizar para ataques man-in-the-middle (MiTM). Los ciberdelincuentes pueden engañar fácilmente a un usuario para que se conecte al hardware BT del atacante en lugar del dispositivo legítimo.
Otros productos vulnerables
Se descubrió un tercer escenario de ataque al probar varios altavoces BT. Específicamente el altavoz Bluetooth portátil Mi – MDZ-36-DB, auriculares BT y módulos de audio BT. Asimismo, un receptor de audio BT sin marca.
Todos ellos están sujetos de diversas formas a una serie de vulnerabilidades (CVE-2021-31609 y CVE-2021-31612, fallas al enviar paquetes LMP de gran tamaño; CVE-2021-31613, etc.)
Los exploits exitosos pueden “congelar” los dispositivos, lo que requiere que el usuario encienda manualmente los dispositivos que no responden después. Para los Xiaomi MDZ-36-DB y JBL TUNE 500BT, esto se puede hacer mientras el usuario está reproduciendo música de forma activa.
Aunque se encontraron problemas en los SoCs dirigidos a productos de audio, la implementación de BT se puede reutilizar en varios SoCs destinados a diferentes productos de BT.
Estos son solo algunos de los posibles escenarios de explotación; Puedes encontrar una lista completa de las vulnerabilidades con descripciones detalladas aquí.
Los investigadores han lanzado una herramienta de prueba de concepto (PoC) de BrakTooth para los proveedores que producen SoC, módulos y productos de BT. La herramienta está disponible para comprobar la vulnerabilidad de sus equipos.