研究人員在Realtek RTL8762E SDK v1.4.0中發(fā)現(xiàn)一個(gè)重大安全漏洞，攻擊者可利用藍(lán)牙低功耗（BLE）安全連接配對(duì)過(guò)程發(fā)起拒絕服務(wù)攻擊。該漏洞存在于RTL8762EKF-EVB開發(fā)平臺(tái)中，源于配對(duì)序列期間協(xié)議狀態(tài)轉(zhuǎn)換的驗(yàn)證機(jī)制存在缺陷。

惡意攻擊者可通過(guò)精心構(gòu)造的數(shù)據(jù)包注入攻擊破壞安全連接，且無(wú)需特殊權(quán)限或認(rèn)證即可實(shí)施攻擊。

漏洞概要

1. Realtek RTL8762E SDK v1.4.0存在嚴(yán)重漏洞，由于藍(lán)牙配對(duì)序列驗(yàn)證不當(dāng)，可導(dǎo)致拒絕服務(wù)攻擊

2. 攻擊者可注入提前發(fā)送的配對(duì)隨機(jī)數(shù)數(shù)據(jù)包來(lái)中斷BLE連接

3. 漏洞利用會(huì)導(dǎo)致配對(duì)失敗并阻斷安全BLE連接

4. 修復(fù)方案需要在BLE協(xié)議棧中強(qiáng)制執(zhí)行正確的消息排序

Realtek藍(lán)牙配對(duì)協(xié)議缺陷分析

據(jù)分析，該漏洞利用了BLE協(xié)議棧在實(shí)現(xiàn)安全連接配對(duì)協(xié)議時(shí)的根本性缺陷。根據(jù)《藍(lán)牙核心規(guī)范v5.3》，配對(duì)過(guò)程要求嚴(yán)格的消息順序——配對(duì)隨機(jī)數(shù)消息必須在成功交換配對(duì)公鑰后才能發(fā)送。然而受影響的Realtek SDK未能執(zhí)行這一關(guān)鍵順序要求。

根本原因在于安全管理器協(xié)議（SMP）層中的狀態(tài)驗(yàn)證不足。BLE協(xié)議棧在處理傳入的配對(duì)隨機(jī)數(shù)數(shù)據(jù)包時(shí)，未驗(yàn)證公鑰交換階段是否已完成，這違反了藍(lán)牙規(guī)范中定義的預(yù)期狀態(tài)機(jī)轉(zhuǎn)換。該實(shí)現(xiàn)缺陷導(dǎo)致設(shè)備會(huì)接受提前發(fā)送的配對(duì)隨機(jī)數(shù)數(shù)據(jù)包，從而觸發(fā)未定義的內(nèi)部狀態(tài)，破壞配對(duì)過(guò)程的完整性。

該漏洞專門影響運(yùn)行Realtek RTL8762E SDK v1.4.0的RTL8762EKF-EVB設(shè)備，問(wèn)題存在于BLE安全連接配對(duì)邏輯組件中。技術(shù)分析表明，當(dāng)設(shè)備錯(cuò)誤處理提前發(fā)送的數(shù)據(jù)包時(shí)，就會(huì)發(fā)生狀態(tài)機(jī)違規(guī)，導(dǎo)致協(xié)議不一致，從而阻止成功認(rèn)證和連接建立。

概念驗(yàn)證攻擊序列展示了漏洞利用的簡(jiǎn)易性：攻擊者首先與RTL8762EKF-EVB設(shè)備建立初始BLE通信，然后通過(guò)提前發(fā)送精心構(gòu)造的配對(duì)隨機(jī)數(shù)數(shù)據(jù)繞過(guò)正常協(xié)議流程，成功觸發(fā)導(dǎo)致配對(duì)過(guò)程中止的狀態(tài)機(jī)錯(cuò)誤。攻擊腳本pairing_random_before_pairing_public_key.py提供了重現(xiàn)該漏洞的實(shí)現(xiàn)細(xì)節(jié)。

修復(fù)建議

該漏洞對(duì)使用Realtek BLE實(shí)現(xiàn)的嵌入式系統(tǒng)構(gòu)成重大安全威脅，因?yàn)楣粽邿o(wú)需特殊權(quán)限或復(fù)雜工具即可利用。建議修復(fù)方案包括在SMP層實(shí)施全面的狀態(tài)驗(yàn)證，確保嚴(yán)格遵守協(xié)議規(guī)范。開發(fā)人員應(yīng)修改BLE協(xié)議棧，根據(jù)SMP狀態(tài)機(jī)要求丟棄任何不按順序接收的消息，特別要確保只有在雙方成功交換配對(duì)公鑰后才能接受配對(duì)隨機(jī)數(shù)數(shù)據(jù)包。

使用受影響Realtek SDK版本的組織應(yīng)優(yōu)先更新至已修復(fù)的固件版本，并考慮實(shí)施網(wǎng)絡(luò)級(jí)監(jiān)控以檢測(cè)針對(duì)其BLE基礎(chǔ)設(shè)施的潛在攻擊嘗試。

本公眾號(hào)發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若有無(wú)意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請(qǐng)聯(lián)系我們處理！文章來(lái)源：https://www.freebuf.com/articles/network/436518.html

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明