Rebootlose Patches für 'BleedingTooth' sind auf dem Weg

Sicherheitsforscher von Google haben kürzlich einen Fehler in der Art und Weise gefunden, wie die Bluetooth-Implementierung des Linux-Kernels L2CAP-Pakete mit A2MP CID behandelt. Ein Angreifer, der sich in Reichweite befindet, könnte diesen Fehler nutzen, um ein betroffenes System zum Absturz zu bringen und einen Denial-of-Service auszulösen oder möglicherweise beliebigen Code auf dem System auszuführen, indem er ein speziell präpariertes L2CAP-Paket sendet. Alle Linux-Distributionen sind betroffen, aber die Ausnutzung ist nur möglich, wenn Sie Geräte über Bluetooth mit Ihrer Infrastruktur verbunden haben.

Unsere Kunden in Rechenzentren fragen sich vielleicht, warum eine Bluetooth-Schwachstelle ein kritisches Problem darstellt, wenn sich der Angreifer in Reichweite des anvisierten Systems befinden muss, aber es ist wahrscheinlich, dass Sie Überwachungskameras, Smart-TVs, drahtlose Drucker und andere Endpunkte haben, die für "BleedingTooth" anfällig sind. Intel schlägt vor, Server mit Hersteller-Updates zu patchen, aber diese Methode erfordert einen Neustart des Servers. KernelCare veröffentlicht Sicherheits-Patches für "BleedingTooth", die keinen Neustart des Servers erfordern, so dass kritische Infrastrukturen, einschließlich IoT-Geräte, innerhalb eines kleinen Zeitfensters der Anfälligkeit gepatcht werden können, ohne dass Dienste unterbrochen und SLAs beeinträchtigt werden.

Was ist "BleedingTooth"?

BleedingTooth" wird nicht nur von einem CVE verfolgt, sondern von mehreren, nämlich CVE-2020-12351, CVE-2020-12352 und CVE-2020-24490. CVE-2020-12351 ist mit einem Schweregrad von 8,3 die wichtigste dieser drei CVEs. Da es sich um eine neue Entdeckung handelt, ist bisher nur wenig über die Schwachstelle bekannt und die reservierten CVEs wurden nicht detailliert aufgeführt, aber sie ist kritisch genug, dass Intel und die Linux-Anbieter empfehlen, sofort Patches zu installieren. Alle Linux-Distributionen sind betroffen, so dass jedes Gerät oder jeder Server, auf dem eine ungepatchte Version läuft, anfällig ist.

Mit einem in böser Absicht erstellten L2CAP-Paket, das in der Bluetooth-Kommunikation verwendet wird, kann ein Angreifer einen Denial-of-Service (DoS) verursachen oder Code auf dem Zielsystem ausführen. Intel warnt, dass die Schwachstelle auch zu einer Privilegienerweiterung führen kann. Der Angreifer muss die BD-Adresse (BD_ADDR) kennen, bei der es sich um eine 48-Bit-Kennung handelt, die jedem Bluetooth-Gerät zugewiesen wird. Ein Proof-of-Concept-Exploit-Code kann auf Github gefunden werden.

In CVE-2020-12352 weisen Google-Forscher darauf hin, dass Verschlüsselungsschlüssel und andere sensible Daten durch die Vorhersage von Speicherlayouts erhalten werden könnten, um KASLR (Kernel Address Space Layout Randomization) zu umgehen. Ein Proof-of-Concept wurde ebenfalls bereitgestellt, um das Problem zu demonstrieren.

Nur Geräte mit Bluetooth-5-Chips sind anfällig, aber Angreifer können bösartige Chips verwenden, um die Sicherheitslücke auszunutzen. BlueZ ist die Protokollbibliothek, die für die Schwachstelle verantwortlich ist, und ihre Entwickler haben Patches für alle drei CVEs angekündigt, oder die Benutzer können ihre Linux-Kernel-Versionen auf 5.9 aktualisieren. Jede Version vor 5.9 ist verwundbar.

Gibt es Abmilderungstechniken?

Einzelpersonen, die private Linux-basierte Geräte mit Bluetooth verwenden, können diese Funktion vorerst deaktivieren, aber dies ist keine praktikable Option für Unternehmensgeräte. Abgesehen von der Deaktivierung von Bluetooth gibt es keine anderen Methoden zur Behebung des Problems, außer der sofortigen Anwendung der erforderlichen Sicherheits-Patches. Freigegebene Hersteller-Patches erfordern jedoch einen Neustart des Servers. Unternehmensserver können nicht wahllos neu gestartet werden, was bedeutet, dass die Administratoren eine Notfallwartung durchführen oder auf eine geplante Änderung warten müssen. Wenn man mit der Anwendung von Sicherheits-Patches wartet, sind die Server anfällig für Angriffe, was ein Risiko für das Unternehmen darstellt. Die Patches von KernelCare, die in Kürze veröffentlicht werden, erfordern keinen Neustart, und alle KernelCare-Kunden erhalten die notwendigen Sicherheitsupdates, um "BleedingTooth" zu beseitigen.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

Schlussfolgerung

Obwohl diese Schwachstelle für einen Unternehmenskunden unwichtig erscheinen mag, ist es aufgrund der zahlreichen Schatten-Endpunkte in einer großen Netzwerkumgebung umso wichtiger, dass sie Linux patchen. Aussagen von Sicherheitsforschern deuten darauf hin, dass Updates für den Linux-Kernel die einzige Option sind, was einen Neustart und eine Unterbrechung des Dienstes erfordert. Der Live-Patching-Service von KernelCare wird die notwendigen Sicherheits-Patches bereitstellen, die keinen Neustart erfordern. Sie können sich für eine 7-tägige Testversion von KernelCare+ anmelden und erhalten die Updates ohne Neustart Anfang nächster Woche. Um sofort zu erfahren, wann der Patch verfügbar ist, können Sie diesen Blogbeitrag auf unseren Twitter- und Facebook-Konten verfolgen.