CISA призывает поставщиков исправлять ошибки BrakTooth после выпуска эксплойтов

24
Women in Games открывают азиатское отделение

Исследователи выпустили общедоступный код эксплойта и инструмент проверки концепции для тестирования устройств Bluetooth на наличие ошибок безопасности System-on-a-Chip (SoC), затрагивающих нескольких поставщиков, включая Intel, Qualcomm, Texas Instruments и Cypress.

Эти 16 недостатков, известных под общим названием BrakTooth , влияют на коммерческие стеки Bluetooth на более чем 1400 наборах микросхем, используемых в миллиардах устройств, таких как смартфоны, компьютеры, аудиоустройства, игрушки, устройства IoT и промышленное оборудование.

Список устройств с уязвимыми SoC включает настольные компьютеры и ноутбуки Dell, MacBook и iPhone, несколько моделей ноутбуков Microsoft Surface, смартфоны Sony и Oppo, информационно-развлекательные системы Volo,

В четверг CISA обратилась к поставщикам с просьбой исправить эти уязвимости после того, как исследователи безопасности выпустили инструмент проверки концепции для тестирования устройств Bluetooth на защиту от эксплойтов BrakTooth.

Федеральное агентство также рекомендовало производителям и разработчикам ознакомиться с подробностями об уязвимостях, опубликованными исследователями в августе, и «обновить уязвимые приложения Bluetooth System-on-a-Chip (SoC) или применить соответствующие обходные пути».

Продавцы все еще работают над патчами BrakTooth

Влияние, связанное с ошибками BrakTooth, варьируется от отказа в обслуживании (DoS) из-за сбоя прошивки устройства или зависаний из-за условий взаимоблокировки, которые блокируют связь Bluetooth, до выполнения произвольного кода, который может привести к полному захвату в зависимости от уязвимой SoC, используемой в целевом устройстве. устройство.

Злоумышленникам, которые могут захотеть запустить атаку BrakTooth, потребуется только стандартная плата ESP32, которая стоит менее 15 долларов, встроенное программное обеспечение настраиваемого протокола Link Manager (LMP) и компьютер для запуска проверки концепции (PoC). инструмент .

Хотя некоторые поставщики уже выпустили исправления безопасности для устранения уязвимостей BrakTooth, для распространения на все непропатченные устройства потребуются месяцы.

В других случаях поставщики все еще исследуют проблемы, все еще работают над исправлением или еще не объявили о своем статусе исправления.

Последнее обновление 11 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии