I ricercatori di sicurezza di Google hanno emesso un avviso su una serie di vulnerabilità “zero- click” nello stack Bluetooth di Linux (CVE-2020-12351, CVE-2020-12352, CVE-2020-24490): soprannominata BleedingTooth, la raccolta di falle di sicurezza potrebbe consentire ad un attaccante di eseguire codice arbitrario da remoto sui dispositivi vulnerabili.
Il problema riguarda il kernel Linux 4.8 e versioni successive e può essere trovato nello stack del protocollo BlueZ open source utilizzato nei sistemi operativi Linux per PC, su alcuni dispositivi IoT e router. La prima versione Linux che risulterebbe sicura è la 5.9.
Indice degli argomenti
BleedingTooth: come funziona
Riguardo alla vulnerabilità a più alto rischio tra quelle riscontrate, ovvero la CVE-2020-12351 con un punteggio CVSS di 8,3 su 10, l’ingegnere di sicurezza Andy Nguyen ha condiviso su Twitter un video dimostrativo che mostra la vulnerabilità in azione.
Come riportato dagli stessi ricercatori, “Un utente malintenzionato remoto a breve distanza che conosce l’indirizzo BD_ADDR (Bluetooth Device Address) della vittima può inviare un pacchetto l2cap dannoso e causare la negazione del servizio o eventualmente l’esecuzione di codice arbitrario con privilegi del kernel. Anche i chip Bluetooth dannosi possono attivare la vulnerabilità”.
Nel Proof of Concept (POC) eseguito su un sistema Ubuntu 20.04 (LTS) e pubblicato su GitHub, il team di sicurezza di Google mostra, inoltre, come un pacchetto Bluetooth malevolo, appositamente allestito, possa generare un “kernel panic” (l’equivalente della schermata di errore blu dei sistemi Windows), portando letteralmente in confusione il protocollo L2CAP (Logical link control and adaptation protocol) e la struttura dati heap.
Conclusioni
Ancora una volta, è chiaro come i sistemi operativi basati su Linux, generalmente considerati più sicuri dei sistemi Windows, non siano completamente privi di problemi di sicurezza.
Intel, analizzando la documentazione prodotta dall’ingegnere Andy Nguyen, ha giudicato grave il rischio derivante dal bug di sicurezza e ha invitato ufficialmente tutti i gestori di sistemi Linux ad effettuare appena possibile l’aggiornamento ad una versione sicura.
Così recita l’incipit del comunicato “Le potenziali vulnerabilità di sicurezza in BlueZ possono consentire l’escalation dei privilegi o la divulgazione di informazioni. BlueZ sta per rilasciare correzioni del kernel Linux per affrontare queste potenziali vulnerabilità”.
Sebbene la vulnerabilità rimanga piuttosto difficile da sfruttare, in quanto è necessario trovarsi in prossimità di un dispositivo Linux vulnerabile per sfruttare il bug BleedingTooth, vale sempre la buona regola di mantenere disattivato il Bluetooth quando non in uso e di rifiutare qualsivoglia richiesta di connessione BT proveniente da fonti sconosciute.
