TR-17-112 (BlueBorne Bluetooth Zafiyeti)

Genel Bilgi

BlueBorne, Bluetooth kullanan cihazların tamamını etkileyen atak vektörüdür. Mobil, masaüstü, dizüstü ve IoT – Nesnelerin İnterneti cihazlarını etkileyen bir dizi güvenlik açığından kaynaklanmaktadır. Android, iOS, Windows ve Linux sistemlerini hedef alan bu saldırı, Bluetooth yapısındaki 8 farklı kritik sıfırıncı gün (0-day) zafiyetinden faydalanarak söz konusu cihazları ele geçirmekte ve internet bağlantısına ihtiyaç duymadan yayılabilmektedir.

Yakın zamanda, bu atak vektörünün birçok saldırıda kullanılması USOM tarafından öngörülmekte olup, gerekli önlemlerin ivedilikle alınması tavsiye edilmektedir.

Etki

Günümüzde dünyada Bluetooth özelliği bulunduran toplam 8.2 milyar cihaz olduğu tahmin edilmektedir [1]. BlueBorne atak vektörünün bu cihazların hepsini etkileyebilme potansiyeli vardır. Bulunan zafiyetler, siber casusluk, veri hırsızlığı, fidye yazılımları ve hatta Mirai saldırılarında da gördüğümüz zombi IoT cihazları tarafından yapılan büyük DDoS saldırıları için kullanılabilir.

Bluetooth protokolü, endüstriyel çözümler, televizyon ve buzdolabı gibi akıllı ev aletleri, telefonlar, tabletler, giyilebilir cihazlar gibi birçok üründe aktif kullanılmakta olduğundan, tüm bu cihazlar saldırının muhtemel hedefleri arasındadır.

Bütün Android telefonlar, tabletler ve giyilebilir cihazlar hedef kapsamında yer almaktadır. Saldırgan kurban cihazdaki döküman, mesaj ve medya öğelerini görebilir ve hatta cihazı tamamen ele geçirmek için bu saldırıdan faydalanabilir. Bu cihazlarda ayrıca, Bluetooth kaynaklı güvenlik açığından faydalanan saldırgan Wi-Fi yönetimini de etkileyerek, kurbanın ağ trafiğini görebilir ve değiştirebilir.

Windows Vista işletim sisteminden itibaren güncellemeleri yapılmamış herhangi bir Windows işletim sistemini kullanan cihazlar internet trafiğinin izlenmesini sağlayan saldırıya karşı savunmasızdır.

Linux sürüm 3.3-rc1 (Ekim 2011) ve sonrası tüm işletim sistemleri (örneğin Tizen O.S.), saldırgan tarafından tamamen ele geçirilebilir. Saldırgan döküman, mesaj ve medya öğelerini görebilir, bankacılık uygulamaları ve benzeri kritik uygulamaları yönetme yetkisi alabilir.

iOS 9.3.5 sürümü öncesi işletim sistemli iPhone, iPad, iPod touch cihazları ile AppleTV 7.2.2 sürümü öncesindeki cihazlar saldırgan tarafından ele geçirebilmekte ve yukarıda bahsi geçen bütün saldırılara hedef olabilmektedir.

Atak Vektörleri

Saldırılar, farklı işletim sistemlerinde tanımlanan Bluetooth katmanlarında bulunan 8 farklı zafiyetten faydalanmaktadır. Bu sebeple, yayılmak için internet bağlantısına ihtiyaç duymamaktadır. Bu durum, söz konusu saldırı tipi kullanılarak özellikle air-gapped (hava boşluklu) ağlara da erişim sağlanabileceğini göstermektedir.

Tehdit kapsamında yer almak için herhangi bir cihazın Bluetooth özelliğinin aktif olması yeterlidir. Cihazın bu özelliğinin açık olup, başka cihazlara görünmez modda tutulması, cihazın bulunamayacağı anlamına gelmemektedir. Günümüzde birinci ve ikinci katmanda dinleme yapabilen birçok alıcının kullanılabilmesi sebebiyle, gizli bulunan Bluetooth servisleri kolayca keşfedilebilmektedir. Bu güvenlik açıklarının kullanılabilmesi için, saldırılacak cihaza ait BDADDR (MAC adresi) değerini bilmek yeterlidir. Bu değer, bahsedilen alıcı donanım ve yazılımlar kullanılarak, Bluetooth’un açık olduğu bir anda kolayca saptanabilmektedir.

Yani atak vektörünü uygulamak için saldırganın kurban cihazla Bluetooth eşlemesi yapmasına, phishing ya da sosyal mühendislik taktikleri kullanmasına ihtiyacı yoktur. Bu atak vektörünün hedefi ele geçirmek için zararlı paketlerin hedefe iletilmesi ile sistemleri tamamıyla ele geçirmeye varan sonuçlar doğurmaktadır.

Saldırı vektörlerinin internet bağlantısına ve kullanıcı etkileşimine ihtiyaç duymadan, cihazdan cihaza yayılarak ilerleyen yapısı göz önüne alındığında, kısa sürede birçok cihazın ele geçirilmesine sebebiyet verebileceği öngörülmektedir.

Saldırı vektörlerinin farklı sistemlerdeki açıklamalarına aşağıda yer verilmiştir.

a. Android Saldırı Vektörü

BlueBorne atak vektörü kapsamında, Android işletim sisteminde bulunan 4 adet güvenlik açığından faydalanılabilmektedir. Bunlardan iki tanesi uzaktan komut çalıştırma (CVE-2017-0781 ve CVE-2017-0782), bir tanesi bilgi sızdırma (CVE-2017-0785), diğeri ise ağ katmanında yapılabilecek işlemler ile aradaki adam saldırısının gerçekleştirilebileceği (CVE-2017-0783) zafiyetlerdir.

Uzaktan komut çalıştırma (RCE) zafiyeti kullanılarak, kurbanın cihazında istenilen komutlar çalıştırılabilir, bu sebeple cihaz ele geçirilebilir ve diğer cihazlara saldırı için kullanılabilir. Bu güvenlik açığı, kurbanın bankacılık uygulamalarının saldırgan tarafından her şekilde kullanılabilmesi, saldırganın kurban cihazdaki doküman mesaj ve medya öğelerini görebilmesi için kullanılabilir.

Uzaktan komut çalıştırma sömürü kodunu kullanan saldırgan, bütün ağ yönetimini ele geçirecek izinlere sahip olabilmektedir (com.android.bluetooth servis izinleri). Bu sebeple, kullanıcının internet bağlantısının arasına girerek, girilen web siteleri vb. bütün ağ trafiğini izleyebilir ve veri akışına müdahale ederek kurbanı kandırabilir.

Bilgi sızdırma zafiyeti, kurban cihazın hafızasından şifreleme anahtarları ve benzeri değerli bilgilerin elde edilmesine sebep olmaktadır. Bu bilgiler aradaki adam (man in the middle) gibi farklı saldırılara zemin hazırlayabilir. Bu açıdan, güvenlik açığı Hearthbleed ile büyük benzerlik göstermektedir.

Ayrıca saldırgan gönderdiği zararlı paketler ile internet trafiğinde aradaki adam saldırısını (MitM) gerçekleştirebilmektedir.

Saldırganın sadece bluetooth paketleri göndererek yapabileceği zararlı aktivitelerin temin edilebilir donanımların (bluetooth pineapple) kullanılması ile  açık alanlardaki tüm cihazları etkileyecek şekilde gerçekleştirilebileceği değerlendirilmektedir

b. Windows Saldırı Vektörü

Windows işletim sistemli cihazları etkileyen internet ağı için aradaki adam saldırısının yapılabileceği güvenlik zafiyeti (CVE-2017-8628) tespit edilmiştir.

c. Linux Saldırı Vektörü

Linux işletim sistemlerini etkileyen bilgi sızdırma (CVE-2017-1000250) ve bellek taşırma (CVE-2017-1000251) zafiyeti tespit edilmiştir.

Bilgi sızdırma zafiyeti, Android bölümünde anlatılan sürümüyle eşdeğer etkiye sahiptir.

BlueZ adlı Bluetooth protokol katman yapısındaki bellek taşırma zafiyetinden faydalanan ikinci saldırı çeşidi, saldırgana sınırsız izinler sağlayarak cihazın tamamen ele geçirilmesine sebep olmaktadır.   

d. iOS Saldırı Vektörü

Apple tarafından Bluetooth kulaklıklar ve Siri Remote ile çalışması için oluşturulan ve Bluetooth üzerinde çalışan Low Energy Audio Protocol (LEAP) adlı protokol yapısında bulunan zafiyetten dolayı uzaktan komut çalıştırılabilmektedir. Apple LEAP protokolü sömürülerek, sınırsız izinler elde edilmekte ve cihaz kontrolü tamamen ele geçirilebilmektedir. Bu güvenlik açığı iOS versiyon 10 öncesindeki işletim sistemlerinde görülmektedir.

Çözüm

Etki başlığı altında listelenen cihazların güvenlik güncellemelerinin ivedilikle yapılması gerekmektedir. Bu güncellemeler:

a. Android 

Google’ın 9 Eylül 2017 tarihinde yayınladığı güncelleme yüklenerek zaafiyetler kapatılabilmektedir: (https://source.android.com/security/bulletin/2017-09-01)

b. Windows

Zaafiyet ile ilgili çıkarılan yamalar şu siteden takip edilmeli ve acilen kurulmalıdır: (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628)

c. Linux

Linux üzerindeki zaafiyeti kapatan güvenlik güncellemeleri 15/09/2017 itibariyle yayınlanmamıştır. Konuyla ilgili gelişmeler şu linkten takip edilebilir: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000251

d. iOS

iOS 10 ve AppleTV 7.2.2 versiyonu itibariyle zafiyetler kapatılmış olup, tüm kullanıcıların cihazlarını bu sürüm ve üzerine güncellemeleri gerekmektedir.

Eğer sizin cihazınız için bir güncelleme yayınlanmamış ise veya yayınlanan güncellemeleri yükleme imkanınız yoksa, Bluetooth servisini tamamen kapatmanız ya da minimum düzeyde kullanmanız tavsiye edilmektedir.

Armis Security firması, Android işletim sistemli cihazlar için kurulduğu cihazda ve çevre cihazlarda BlueBorne zafiyetini tespit edebilen bir uygulama geliştirmiştir. Uygulamaya şu bağlantı aracılığıyla ulaşılabilir: https://play.google.com/store/apps/details?id=com.armis.BlueBorne_detector

Kaynaklar

[1] https://www.bluetooth.com/what-is-bluetooth-technology/where-to-find-it

[2] https://www.kb.cert.org/vuls/id/240311

[3] https://www.armis.com/blueborne/

2017-09-13