Parches sin reinicio para 'BleedingTooth' en camino

Investigadores de seguridad de Google han encontrado recientemente un fallo en la forma en que la implementación Bluetooth del kernel de Linux gestiona los paquetes L2CAP con CID A2MP. Un atacante remoto en el rango podría utilizar este defecto para bloquear un sistema de destino causando una denegación de servicio o potencialmente ejecutar código arbitrario en el sistema mediante el envío de un paquete L2CAP especialmente diseñado. Todas las distribuciones de Linux están afectadas, pero el exploit sólo es posible si tienes dispositivos conectados vía Bluetooth a tu infraestructura.

Nuestros clientes de centros de datos podrían estar preguntándose por qué una vulnerabilidad Bluetooth es un problema crítico cuando el atacante debe estar en el rango del sistema objetivo, pero es probable que usted tenga cámaras de vigilancia, televisores inteligentes, impresoras inalámbricas y otros puntos finales que serían vulnerables a 'BleedingTooth'. Intel sugiere parchear los servidores con actualizaciones del fabricante, pero este método requiere reiniciar el servidor. KernelCare está lanzando parches de seguridad para "BleedingTooth" que no requerirán reiniciar el servidor, por lo que la infraestructura crítica, incluidos los dispositivos IoT, se pueden parchear dentro de una pequeña ventana de vulnerabilidad sin interrumpir los servicios y afectar a los SLA.

¿Qué es 'BleedingTooth'?

'BleedingTooth' no está rastreado por un solo CVE, sino por varios, a saber, CVE-2020-12351, CVE-2020-12352 y CVE-2020-24490. El más significativo de estos tres, con una puntuación de gravedad de 8,3, es el CVE-2020-12351. Se trata de un hallazgo reciente, por lo que se sabe poco sobre la vulnerabilidad hasta la fecha y no se han detallado los CVE reservados, pero es lo suficientemente crítica como para que Intel y los proveedores de Linux sugieran parchearla inmediatamente. Todas las distribuciones de Linux están afectadas, por lo que cualquier dispositivo o servidor que ejecute una versión sin parchear es vulnerable.

Mediante un paquete L2CAP malicioso utilizado en la comunicación Bluetooth, un atacante podría causar una denegación de servicio (DoS) o ejecutar código en el sistema de destino. Intel advierte que el exploit también puede conducir a una escalada de privilegios. El atacante debe conocer la dirección bd (BD_ADDR), que es un identificador de 48 bits asignado a cada dispositivo Bluetooth. En Github se puede encontrar una prueba de concepto del código del exploit.

En CVE-2020-12352, los investigadores de Google indican que las claves de cifrado y otros datos sensibles podrían obtenerse mediante la predicción de la disposición de la memoria para derrotar a KASLR (Kernel Address Space Layout Randomization). También se proporcionó una prueba de concepto para demostrar el problema.

Sólo son vulnerables los dispositivos que utilizan chips Bluetooth 5, pero los atacantes pueden utilizar chips maliciosos para explotar la vulnerabilidad. BlueZ es la biblioteca de protocolos responsable de la vulnerabilidad, y sus desarrolladores anunciaron parches para los tres CVE o los usuarios pueden actualizar sus versiones del kernel de Linux a la 5.9. Cualquier versión anterior a la 5.9 es vulnerable.

¿Existen técnicas de mitigación?

Los usuarios de dispositivos personales basados en Linux con Bluetooth pueden desactivarlo por ahora, pero no es una opción viable para los dispositivos de empresa. Aparte de desactivar Bluetooth, no hay otros métodos disponibles para mitigar el problema aparte de aplicar inmediatamente los parches de seguridad necesarios. Sin embargo, los parches publicados por los proveedores exigen reiniciar el servidor. Los servidores empresariales no pueden reiniciarse indiscriminadamente, lo que significa que los administradores deben realizar un mantenimiento de emergencia o esperar a un cambio programado. Esperar a aplicar los parches de seguridad deja entonces a los servidores vulnerables a los exploits, lo que pone en peligro a la empresa. Los parches de KernelCare que se publicarán próximamente no requerirán un reinicio, y todos los clientes de KernelCare recibirán las actualizaciones de seguridad necesarias para corregir "BleedingTooth".

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare 

Conclusión

Aunque esta vulnerabilidad pueda parecer poco importante para un cliente empresarial, es aún más crucial que parcheen Linux debido a los numerosos puntos finales en la sombra disponibles en un gran entorno de red. Las declaraciones de los investigadores de seguridad indican que la única opción es actualizar el kernel de Linux, lo que requiere reiniciar el sistema e interrumpir el servicio. El servicio de parches en vivo de KernelCare desplegará los parches de seguridad necesarios sin necesidad de reiniciar el sistema. Puede suscribirse a una prueba de 7 días de KernelCare+ y obtener las actualizaciones sin reinicio a principios de la semana que viene. Para saber de inmediato cuándo estará disponible el parche, puede seguir esta entrada de blog en nuestras cuentas de Twitter y Facebook.