Као што смо већ много пута поменули, а наставићемо и даље, приватност и безбедност информација два су стуба о којима се мора свакодневно бринути у било ком оперативном систему којим рукујемо.
Никоме није тајна да смо у свету на мрежи у коме се хиљаде радњи извршава сваког минута и где су укључени лични подаци попут банковних рачуна, бројева картица, идентификационих бројева, адреса и још много тога, а са све већим порастом нападима као што су рансомваре или малваре, ти подаци могу бити угрожени и употребљени у злонамерне сврхе.
Пре нешто више од месец дана видели смо како је ВаннаЦри утицао на хиљаде корисника и корпорација широм света „отмицом“ њихових података и захтевањем од њих погођених сума новца за њихову откупнину. Ове недеље, компанија Армис Лабс објавила је бело издање упозорења о новој озбиљној рањивости која потенцијално може оставити милијарде уређаја са омогућеним Блуетоотх-ом подложним удаљеном извршавању кода и нападима МиТМ (Ман-ин-Тхе-Миддле).
Ово је деликатно јер омогућава нападачима да преузму контролу над рачунаром и на тај начин спроведу своје злонамерне планове. Солветиц жели упозорити на овај нови напад и стога ће извршити потпуну анализу ове нове врсте пријетње, спречавајући нас тако да постанемо још једна жртва.
БлуеБорне прегледКао што смо раније поменули, Армис Лабс је открио нови вектор напада који доводи у опасност главне мобилне, десктоп и ИоТ оперативне системе, међу којима су Андроид, иОС, Виндовс и Линук и уређаји који их користе.
Овај нови вектор се зове БлуеБорне и носи ово име јер се шири ваздухом (у ваздуху) и напада уређаје путем Блуетоотх услуге. Ипак није омогућено. Слично, Армис је такође открио осам рањивости везаних за напад нула дана, нулти дан, од којих су четири класификоване као критичне.
Претња БлуеБорне омогућава нападачима да преузму контролу над уређајима, приступе корпоративним подацима и мрежама, продру у сигурне мреже за „приступ интернету“ и шире злонамерни софтвер бочно на суседне уређаје, чиме у потпуности утичу на приватност и безбедност свих садржаја на уређају. Армис је пријавио ове рањивости и тренутно ради са програмерима на њиховом идентификовању и објављивању закрпа како би се супротставили овој претњи.
Шта је БлуеБорнеКао што је наведено, БлуеБорне је вектор напада у којем хакери могу искористити Блуетоотх везе уређаја како би продрли и преузели потпуну контролу над циљним уређајима, утичући на обичне рачунаре, мобилне телефоне и све веће подручје ИоТ (Интернет оф Тхингс) уређаја .
Овај напад не захтева да циљани уређај буде упарен са уређајем нападача, што је класичан начин функционисања Блуетоотх -а, и не захтева да буде подешен на начин откривања, што ми као корисници можемо проћи незапажено.
Овај БлуеБорне вектор напада може се користити за извршење широког спектра злочина, укључујући даљинско извршавање кода, као и нападе „човек у средини“. Најгоре у овом нападу је то што је пронађено до осам засебних рањивости нула дана (укључујући четири критичне) које се могу користити за хаковање већине уређаја. Тренутно доступан Блуетоотх, без обзира на оперативни систем који се користи, то значи да је више од 5 милијарди Блуетоотх уређаја широм света потенцијално осетљиво на овај велики безбедносни пропуст који је откривен пре мање од недељу дана.
Какав је ризик од БлуеБорне -аИако је за многе ово једноставно пријетња и мислимо да никада нећемо бити жртве, важно је имати на уму да БлуеБорнеов вектор напада има неколико особина које могу имати погубан учинак када се међусобно комбинују, тако да када се шире кроз аир, БлуеБорне фокусира се на најслабију тачку у одбрани мреже, и једину која не штити никакве мере безбедности.
Дифузија са једног уређаја на други путем ваздуха такође чини БлуеБорне веома заразним међу уређајима повећавајући ниво напада и, штавише, будући да Блуетоотх процес има високе привилегије у свим оперативним системима, његово коришћење омогућава готово потпуну контролу над погођеним уређајем, а да ми то нисмо приметили одмах.
БлуеБорне има могућност да служи као било која злонамерна мета, као што су:
- Сајбер шпијунажа
- Крађа података
- Рансомваре
- Стварање ботнета изван ИоТ уређаја као што је Мираи Ботнет или мобилних уређаја попут недавног ВиреКс Ботнет -а.
Колико је широка претња од БлуеБорне -а?
У овом тренутку ће неки корисници помислити: па, ја сам у Лими, Мадриду, Боготи и имам антивирус на рачунарима, шта ме брине? Солветић препоручује предузимање одговарајућих мера и свесност да ова претња може бити присутна било где у свету.
Вектор напада БлуеБорне потенцијално може утицати на све уређаје са омогућеним Блуетоотх-ом, процењује се на више од 8,2 милијарди уређаја данас широм света. Упамтите да је Блуетоотх водећи и најраширенији протокол за комуникацију кратког домета и да га користе уређаји свих врста, од обичних рачунара и мобилних уређаја до ИОТ уређаја, попут телевизора, сатова, аутомобила, па чак и медицинских уређаја. Иако данас имамо много више мрежних протокола, сви наши мобилни уређаји имају Блуетоотх, што нас чини метом напада:
Да би се стекла глобална предоџба о броју уређаја на које се може утицати, најновији објављени извештаји указују на то да се користи више од 2 милијарде Андроид, 2 милијарде Виндовс и 1 милион Аппле уређаја. Гартнер извештава да данас у свету постоји 8 милијарди повезаних или ИоТ уређаја, од којих многи имају Блуетоотх, тако да можемо видети нивое утицаја које БлуеБорне може изазвати.
Шта је ново у БлуеБорне -у
Иако је БлуеБорне био једва познат пре недељу дана, добро знамо да нападачи стално користе нове технике за ширење напада и зато морамо знати које су нове могућности откривене у овој теми.
Овде су неки од њих:
Нови вектор ваздушног удараЗа разлику од већине данашњих напада који се ослањају на Интернет, БлуеБорне напад се шири ваздухом, чинећи га много озбиљнијом претњом. Ово функционише на сличан начин као две мање опсежне рањивости које су недавно открили на Броадцом Ви-Фи чипу Пројецт Зеро и Екодус, јер су рањивости пронађене на Ви-Фи чиповима утицале само на периферне уређаје и захтевају још један корак за контролу уређаја.
Уместо тога, са БлуеБорне -ом, нападачи могу од почетка добити потпуну контролу. Осим тога, Блуетоотх нуди много ширу површину нападачу од ВиФи -а, истраживачи готово потпуно неистражени и стога садрже много више рањивости.
Будући да је ваздушни напад, нападач има много веће шансе да спроведе свој план из разлога као што су:
- Ширење ваздухом чини напад много заразнијим, омогућавајући му да се шири уз минимални напор нападача
- Омогућава нападу да заобиђе тренутне мере безбедности и остане неоткривен, јер традиционалне методе не штите од претњи у ваздуху, већ су усмерене на претње друге врсте
- Омогућавају хакерима да продру у сигурне интерне мреже које су „филтриране“, што значи да су искључене из било које друге мреже ради заштите.
- За разлику од традиционалног злонамерног софтвера или напада, корисник не мора да кликне на везу или преузме сумњиву датотеку. Нису потребне никакве радње корисника да би се допустио напад који би могао бити неприметан за било кога од нас.
Широка и драстична претњаВектор напада БлуеБорне не захтева никакву интеракцију корисника, компатибилан је са свим тренутним верзијама софтвера и не захтева никакве предуслове или конфигурацију осим активног Блуетоотх -а који има све састојке да постане једна од најгорих познатих претњи.
Иако се можда не чини истинитим, Блуетоотх уређаји на нашим рачунарима непрестано траже долазне везе са било ког уређаја, а не само са онима са којима су упарени, што значи да се Блуетоотх веза може успоставити без упаривања уређаја а ово је велика безбедносна грешка јер дозвољава БлуеБорне -у да буде један од потенцијалних напада последњих година и омогућава нападачу да нападне потпуно неопажено од стране корисника или истраживача.
Следећа генерација Блуетоотх рањивостиПрије неког времена већина Блуетоотх рањивости и сигурносних пропуста произашли су из проблема са самим протоколом, који су 2007. године исправљени у верзији 2.1.
Блуетоотх је протокол који је тешко имплементирати, што му омогућава да буде склон две врсте рањивости:
Прво, продавци могу следити смернице за имплементацију протокола од речи до речи, што указује да би, када се на једној платформи пронађе рањивост, то могло утицати на друге. Ове одражене рањивости догодиле су се са ЦВЕ-2017-8628 и ЦВЕ-2017-0783 (Виндовс и Андроид МиТМ) који су били „идентични близанци“.
Друго, у неким областима Блуетоотх спецификације остављају много простора за тумачење, што узрокује фрагментацију метода имплементације на различитим платформама, чинећи вероватније да свака од њих садржи своју рањивост.
Из тог разлога, рањивости које чине БлуеБорне напад засноване су на различитим имплементацијама Блуетоотх протокола и учесталије су и озбиљније него што је раније познато.
На основу ове врсте претњи и начина на који се она може ширити једноставно и широко, Армис је контактирао програмере ради координације драстичних и ефикасних безбедносних мера којима се тражи заштита крајњег корисника.
Армис је контактиран на следећи начин:
- Гоогле је контактирао 19. априла 2021.-2022
- Мицрософт је контактиран 19. априла 2021.-2022., А ажурирања су извршена 11. јула 2021.-2022
- Аппле је контактиран 9. августа 2021.-2022. Јер Аппле није имао рањивост у тренутним верзијама оперативних система.
- Самсунг је контактиран у месецима Самсунг у априлу, мају и јуну без добијања одговора
- Линук је контактиран 15. и 17. августа 2021-2022. А 5. септембра 2021.-2022. Тиму за безбедност кернела достављене су потребне информације.
Погођени уређаји
Дошли смо до једне од тачака која је критична за већину нас, а то је да знамо колики смо проценат рањивости са нашим уређајима.
Запамтите да БлуеБорне утиче на све уређаје који раде на Андроид, Линук, Виндовс и иОС оперативним системима пре верзије 10, без обзира на верзију Блуетоотх -а, што је широк спектар погођених уређаја, укључујући ПЦ опрему., Мобилне уређаје, паметне телевизоре и ИоТ уређаје.
Андроид
На Андроид нивоу имамо следеће ефекте:
На све Андроид телефоне, таблете и лаптопове (осим оних који користе само Блуетоотх Лов Енерги) свих верзија утичу четири рањивости пронађене у Андроид оперативном систему, а то су:
- (ЦВЕ-2017-0781 и ЦВЕ-2017- 0782) које омогућавају даљинско извршавање кода
- (ЦВЕ-2017-0785) у којем долази до цурења информација
- (ЦВЕ-2017-0783) који омогућава нападачу да изведе напад човек-у-средини.
- Гоогле Пикел
- Самсунг галаки
- Самсунг Галаки Таб
- ЛГ Ватцх Спорт
- Аудио систем за аутомобиле од бундеве
Армис је развио бесплатну апликацију под називом БлуеБорне Вулнерабилити Сцаннер коју можемо преузети из Плаи продавнице на следећој вези:
Када га извршимо, моћи ћемо да видимо одговарајућу анализу. Коначно ћемо видети који ниво рањивости имамо:
Како Андроид напада:
Виндовс
На нивоу оперативног система Виндовс, нажалост, сви рачунари од оперативног система Виндовс Виста су погођени рањивошћу „Блуетоотх ананас“ која омогућава нападачу да изведе напад „човек у средини“ (ЦВЕ-2017-8628). Мицрософт је 11. јула 2021.-2022. Издао безбедносне закрпе за све подржане верзије оперативног система Виндовс.
У овом случају можемо отићи на следећу званичну Мицрософтову везу за преузимање најновијих безбедносних закрпа:
ЕНЛАРГЕ
Како напада у систему Виндовс:
Линук
У случају Линука, на све Линук уређаје са БлуеЗ-ом утиче рањивост цурења информација (ЦВЕ-2017-1000250). Сви Линук уређаји из верзије 3.3-рц1 (објављен у октобру 2011.) погођени су рањивошћу удаљеног извршавања кода (ЦВЕ-2017-1000251).
Неки примери погођених уређаја су.
- Самсунг Геар С3 (паметни сат)
- Самсунг паметни телевизори
- Самсунг Фамили Хуб (паметни фрижидер)
Црна листа основних Блуетоотх модула:
принтф "инсталл% с /бин /труе \ н" бнеп блуетоотх бтусб >> /етц/модпробе.д/дисабле-блуетоотх.цонОнемогућите и зауставите Блуетоотх услугу
системцтл онемогући блуетоотх.сервице системцтл маска блуетоотх.сервице системцтл стоп блуетоотх.сервицеУклоните Блуетоотх модуле:
родо бнеп родо блуетоотх родо бтусб
иос
Рањивост даљинског извршавања кода ће утицати на све иПхоне, иПад и иПод тоуцх уређаје са иОС 9.3.5 или старијом верзијом и АпплеТВ уређаје са верзијом 7.2.2 или старијом. Аппле је ову рањивост већ умањио у иОС -у 10, па није потребна нова закрпа да би се она ублажила, а у случају да не можете да примените закрпу, биће потребно онемогућити Блуетоотх и минимизирати његову употребу све док не потврди да је нова закрпа је издата и инсталирана. закрпа на вашем уређају.
У следећем видеу објашњавамо како БлуеБорне функционише:
Вектор напада БлуеБорне има неколико фаза које су:
- Прво, нападач лоцира активне Блуетоотх везе у свом окружењу. Уређаји се могу идентификовати чак и ако нису подешени на режим "откривање"
- Друго, нападач добија МАЦ адресу уређаја, што је јединствени идентификатор за тај уређај. Тестирајући уређај, нападач може одредити оперативни систем који корисник користи и према томе прилагодити свој рад.
- Треће, нападач може искористити рањивост у имплементацији Блуетоотх протокола на релевантној платформи и стећи приступ који му је потребан за деловање на своју злонамерну мету.
- Коначно, нападач може изабрати коју врсту напада ће применити, било да се ради о човеку у средини и контролише комуникацију уређаја, или преузме потпуну контролу над уређајем и користи га у широком спектру сајбер криминала.
Можемо видети како настају нове претње које угрожавају нашу приватност, па отуда и важност предузимања неопходних мера за заштиту и ажурирање наших уређаја.
