ฉันจะรักษาความปลอดภัยระบบ Linux กับการโจมตีระยะไกล BlueBorne ได้อย่างไร

Armis Lab ได้ค้นพบการโจมตีแบบเวกเตอร์ใหม่ที่ส่งผลกระทบต่ออุปกรณ์ทั้งหมดที่เปิดใช้งาน Bluetooth รวมถึงระบบ Linux และ IoT

BlueBorne โจมตีบน Linux

Armis เปิดเผยสองช่องโหว่ในระบบปฏิบัติการ Linux ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสได้อย่างสมบูรณ์ สิ่งแรกคือช่องโหว่การรั่วไหลของข้อมูลซึ่งสามารถช่วยให้ผู้โจมตีสามารถตรวจสอบเวอร์ชันที่แน่นอนที่อุปกรณ์เป้าหมายใช้และปรับการใช้ประโยชน์ของเขาให้เหมาะสม ประการที่สองคือสแตกล้นด้วยสามารถนำไปสู่การควบคุมเต็มรูปแบบของอุปกรณ์

ตัวอย่างเช่นอุปกรณ์ทั้งหมดที่เปิดใช้งานบลูทู ธ ควรทำเครื่องหมายว่าเป็นอันตราย อุปกรณ์ที่ติดไวรัสจะสร้างเครือข่ายที่เป็นอันตรายซึ่งทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ทั้งหมดได้จากระยะบลูทู ธ การใช้บลูทู ธ บนระบบ Linux เพื่อเชื่อมต่ออุปกรณ์ต่อพ่วง (คีย์บอร์ด, เม้าส์, หูฟัง, ฯลฯ ) ทำให้ Linux อยู่ภายใต้ความเสี่ยงที่หลากหลาย

การโจมตีนี้ไม่ต้องการการโต้ตอบจากผู้ใช้การพิสูจน์ตัวตนหรือการจับคู่ทำให้ไม่สามารถมองเห็นได้ในทางปฏิบัติ

CVE-2017-1000250 อุปกรณ์ Linux ทั้งหมดที่ใช้งาน BlueZ ได้รับผลกระทบจากช่องโหว่การรั่วไหลของข้อมูล

ระบบปฏิบัติการ Linux ทั้งหมดที่เปิดใช้งานบลูทู ธ ของฉันถูกทำเครื่องหมายว่ามีความเสี่ยงหลังจากตรวจสอบด้วยเครื่องสแกน BlueBorne Vulnerability (แอพพลิเคชั่น Android ของ Armis เพื่อค้นหาอุปกรณ์ที่มีช่องโหว่นั้นจำเป็นต้องเปิดใช้งานการค้นพบอุปกรณ์

มีวิธีใดบ้างที่จะลดทอนการโจมตี BlueBorne เมื่อใช้บลูทู ธ ในระบบ Linux?

— GAD3R
แหล่งที่มา

การปิด BlueTooth อาจเป็นการเริ่มต้นที่ดี

— Bob Jarvis - Reinstate Monica

หากคุณต้องการใช้บลูทู ธ การแก้ไขได้ถูกนำไปใช้กับทั้ง BlueZ และเคอร์เนล แต่นั่นก็หมายความว่าคุณจะต้องรวบรวมและเรียกใช้เคอร์เนลตั้งแต่เริ่มต้น

— danielunderwood

วันที่เปิดเผยการประสานงานสำหรับช่องโหว่ BlueBorne คือวันที่ 12 กันยายน 2017 คุณควรเห็นการอัพเดตการแจกจ่ายพร้อมการแก้ไขสำหรับปัญหาหลังจากนั้นไม่นาน ตัวอย่างเช่น:

RHEL
Debian CVE-2017-1000250และCVE-2017-1000251

จนกว่าคุณจะสามารถอัปเดตเคอร์เนลและ BlueZ ในระบบที่ได้รับผลกระทบคุณสามารถบรรเทาปัญหานี้ได้โดยการปิดการใช้งานบลูทู ธ (ซึ่งอาจมีผลเสียแน่นอนโดยเฉพาะอย่างยิ่งถ้าคุณใช้แป้นพิมพ์หรือเมาส์บลูทู ธ ):

บัญชีดำโมดูล Bluetooth หลัก

printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf

ปิดใช้งานและหยุดบริการบลูทู ธ

systemctl disable bluetooth.service
systemctl mask bluetooth.service
systemctl stop bluetooth.service

ลบโมดูลบลูทู ธ
```
rmmod bnep
rmmod bluetooth
rmmod btusb
```
(สิ่งนี้อาจจะล้มเหลวในตอนแรกโดยมีข้อผิดพลาดที่ระบุว่าโมดูลอื่นกำลังใช้สิ่งเหล่านี้คุณจะต้องลบโมดูลเหล่านั้นออกและทำซ้ำคำสั่งข้างต้น)

หากคุณต้องการที่จะแก้ไขและสร้าง Bluez และเคอร์เนลตัวเอง, การแก้ไขปัญหาที่เหมาะสมที่มีอยู่ที่นี่สำหรับ Bluezและที่นี่สำหรับเคอร์เนล

— สตีเฟ่น Kitt
แหล่งที่มา