BlueBorne es un conjunto de vulnerabilidades descubiertas en el protocolo Bluetooth en 2017 por la empresa de seguridad Armis Labs. Estas vulnerabilidades permitían ataques sin necesidad de que el dispositivo objetivo estuviera emparejado con el dispositivo atacante. BlueBorne afectaba a dispositivos que utilizaban sistemas operativos como Android, iOS, Windows y Linux.
Historia
En septiembre de 2017, Armis Labs divulgó públicamente las vulnerabilidades BlueBorne, revelando que el vector de ataque estaba basado en Bluetooth, lo que permitía a los atacantes llevar a cabo ataques remotos sin necesidad de interacción del usuario. BlueBorne fue especialmente preocupante debido a la cantidad de dispositivos potencialmente vulnerables y al alcance del vector de ataque.
Las vulnerabilidades individualmente eran:
- CVE-2017-1000251: Vulnerabilidad en el kernel de Linux.
- CVE-2017-1000250: Vulnerabilidad en el Android Bluetooth stack.
- CVE-2017-8628: Vulnerabilidad en el servicio Bluetooth en Windows.
- CVE-2017-14315: Vulnerabilidad en el iOS Low Energy Midi.
Efectos
BlueBorne tenía varios efectos peligrosos:
- Robo de datos: Un atacante podía interceptar y extraser información sensible del dispositivo comprometido.
- Instalación de malware: Facilitaba la instalación de software malicioso sin consentimiento del usuario.
- Control total del dispositivo: Permitía a los atacantes tomar el control completo del dispositivo, realizándo comandos y accediendo a todos los recursos del sistema.
- Propagación en redes internas: Como el ataque no requería que los dispositivos estuvieran emparejados, se podía propagar rápidamente de un dispositivo vulnerable a otro en la misma red interna sin necesidad de conexión a internet.
Modo de Infección
El proceso de infección a través de las vulnerabilidades BlueBorne involucraba varios pasos:
- Discovery: El atacante primero necesitaba encontrar un dispositivo vulnerable dentro del rango Bluetooth, que generalmente es de alrededor de 10 metros, aunque puede ser mayor dependiendo del dispositivo.
- Vulnerabilidad: El atacante utilizaría una de las vulnerabilidades específicas para inyectar un payload malicioso en el dispositivo.
- Para Linux y Android, la explotación involucraba aprovechar fallos en el manejo del Protocolo de Permutación Adaptativa Temporal (L2CAP).
- Para iOS, se explotaba una debilidad en la implementación de Bluetooth LE.
- En Windows, los atacantes aprovechaban fallos en el servicio de Bluetooth.
- Ejecución: El payload malicioso, una vez inyectado, permitía al atacante ejecutar código arbitrario, instalar malware o tomar el control del dispositivo.
- Persistencia: En muchos casos, el malware instalaba backdoors para mantener el acceso al dispositivo comprometido incluso después de un reinicio.
Mitigación y Parcheo
La divulgación de BlueBorne llevó a una respuesta rápida de los fabricantes y desarrolladores de sistemas operativos. Las actualizaciones de seguridad fueron emitidas para todos los sistemas operativos afectados:
- Google lanzó parches para Android en su actualización de seguridad de septiembre de 2017.
- Microsoft lanzó un parche en julio de 2017, aunque no mencionaba específicamente BlueBorne hasta que se hicieron públicos los detalles.
- Apple ya había parcheado las vulnerabilidades en la versión 10 de iOS, lanzada en septiembre de 2016.
- Distribuciones de Linux recibieron parches a través de sus canales habituales de actualización.
Finalmente, dado que BlueBorne dependía del protocolo Bluetooth, se recomendó a los usuarios desactivar Bluetooth cuando no lo necesitaran y mantener sus dispositivos actualizados con los últimos parches de seguridad.
BlueBorne destacó la importancia de asegurar no solo las conexiones a internet sino también los protocolos de comunicación como Bluetooth, que a menudo son pasados por alto pero pueden ser igual de peligrosos.
.png)