ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → BLEEDINGBIT TI芯片中的蓝牙漏洞使企业面临远程攻击

BLEEDINGBIT TI芯片中的蓝牙漏洞使企业面临远程攻击

时间:2018-11-03 00:00:00人气:作者:本站作者我要评论

BLEEDINGBIT TI芯片中的蓝牙漏洞使企业面临远程攻击

新蓝牙芯片中的两个漏洞,被称为BLEEDINGBIT,暴露了数百万个接入点和其他网络设备,以实现攻击。
来自物联网安全公司Armis的安全专家发现了BlueBorne蓝牙漏洞,发现了德州仪器公司设计的BLE芯片中的两个严重漏洞。这些缺陷,被称为BLEEDINGBIT通过ARMIS,可以通过远程和未攻击者利用采取易受攻击的设备的完全控制和访问企业网络的住房它们。

这些问题会影响蓝牙低功耗(蓝牙4.0)芯片,这些芯片专为不需要交换大量数据的应用而设计,例如医疗保健和体育中的智能对象。

BLE用于低功耗设备,它能够覆盖蓝牙(330英尺)的距离,但具有较低的数据传输速率。

受影响的芯片还用于Cisco和ArubaNetworks制造的接入点和其他网络设备。

Armis发现了两个影响接入点和其他非托管设备的芯片级漏洞。被称为BLEEDINGBIT,他们是与使用的德州仪器(TI)由BLE(低功耗蓝牙)芯片的两个关键漏洞。读取后通过ARMIS出版。

这些芯片嵌入在其他设备中,某些接入点可以为思科,Meraki和Aruba制造的企业网络提供Wi-Fi。这些是网络领域的领导者,占据了近70%的市场份额。

当时尚不清楚受影响设备的确切数量,据估计,思科和ArubaNetworks每年向企业提供70%的无线接入点。

BLEEDINGBIT漏洞影响多个德州仪器芯片,CVE-2018-16986漏洞影响运行BLE-STACK2.2.1及更早版本的CC2640和CC2650芯片,以及运行1.0或更早版本的CC2640R2。

该漏洞影响了几个CiscoAironet和MerakiMR接入点,攻击者只有在设备正在主动扫描时才能利用该漏洞。

目标设备范围内的攻击者可以触发远程代码执行的缺陷。如果启用了BLE并且设备正在主动扫描,则攻击者可以发送特制数据包以触发内存溢出并执行任意代码。

当使用扫描时,这些TI芯片中存在CVE-2018-16986的安全漏洞(例如观察者角色或执行扫描的中心角色)继续发布。

攻击可能会引发漏洞,在芯片上安装后门,然后完全控制易受攻击的设备。专家警告说,攻击者可以在网络上传播到其他设备。

跟踪CVE-2018-7080的第二个缺陷影响CC2642R2,CC2640R2,CC2640,CC2650,CC2540和CC2541芯片。只有使用该芯片的设备启用了无线固件下载(OAD)功能,才能利用该缺陷。

CVE-2018-7080的漏洞会影响以下任何TI的BLE芯片,只要供应商选择在其设备中加入OAD功能。该帖子继续说道。

第二个漏洞可能被利用来向目标AP发送恶意更新并覆盖操作系统。

专家指出,所有Aruba接入点共享相同的OAD密码,可以通过拦截合法更新或对设备进行逆向工程来获得。根据Aruba的说法,只有在打开BLE收音机时才会触发该漏洞。

作为某些Aruba接入点一部分的嵌入式BLE无线电固件存在漏洞。能够利用此漏洞的攻击者可以在AP的BLE无线电中安装新的潜在恶意固件,然后可以访问AP的控制台端口。阅读Aruba发布的咨询报告。

Armis向所有受影响的供应商通报了这些缺陷,德州仪器发布了BLE-STACK2.2.2版以解决CVE-2018-16986漏洞。无论思科和阿鲁巴也发布了安全补丁,受影响的产品。

允许攻击者在设备之间传播的漏洞对任何组织或个人构成巨大威胁。当前的安全措施(包括端点保护,移动数据管理,防火墙和网络安全解决方案)并非旨在识别这些类型的攻击以及相关的漏洞和漏洞,因为它们的主要重点是阻止可通过IP连接传播的攻击。阿维斯总结道。

需要新的解决方案来解决新的空中攻击向量,特别是那些使空中间隙和网络分段无关的问题。此外,随着新协议正在为消费者和企业使用,需要更多的关注和研究。随着大量桌面设备,移动设备和物联网设备的增加,我们必须确保不利用这些类型的漏洞。这是Armis在这个新的互联设备时代的主要使命。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网