近日，以色列安全公司Armis公布了有关两个新的低功耗蓝牙（BLE）芯片漏洞的详细信息，而这些芯片据称正在被归属于全球众多企业的数百万接入点（AccessPoint，AP）和网络通讯设备所使用。

这两个漏洞被合并称之为“BleedingBit”，可以让远程攻击者在无需身份验证的情况下执行任意代码并完全控制易受攻击的设备，包括各种医疗设备（如胰岛素泵和起搏器）、销售点系统和物联网设备。

Armis公司的安全研究人员表示，BleedingBit漏洞存在于由美国德州仪器公司（Texas Instruments，TI）生产的低功耗蓝牙（BLE）芯片中，包括思科（Cisco）、Meraki（成立于2006年，于2012年被思科收购）和安移通（Aruba）等全球知名企业都在其企业产品线中使用了这些芯片。

说起Armis这家公司，有些人可能仍对其留有印象，它就是在去年轰动一时的“BlueBorne”蓝牙漏洞的发现者。BlueBorne是存在于Android、Windows、Linux和iOS中的9个蓝牙漏洞的合称，影响了数十亿台设备，包括智能手机、笔记本电脑、智能电视机、智能手表和汽车音响系统。

BLE芯片中的第一个BleedingBit RCE漏洞（CVE-2018-16986）

第一个漏洞被标识为CVE-2018-16986，存在于TI芯片CC2640和CC2650中，影响了许多思科和Meraki的Wi-Fi接入点，是由于蓝牙芯片分析传入数据的方式存在缺陷而产生的。

根据研究人员的说法，向BLE芯片发送的流量超出预期就会导致内存损坏，这通常被称为“缓冲区溢出攻击”，允许攻击者在受影响的设备上运行恶意代码。

研究人员解释说：“首先，攻击者需要发送多个合法的BLE广播消息，称为‘广播数据包（Advertising Packet）’，它将存储在目标设备BLE芯片的内存中。”

“接下来，攻击者需要发送溢出数据包，它与合法数据包存在一个很小的差异——其标头中的一个特定位变为ON，而不是OFF。这会使得芯片从数据包中分配一个比实际需要更大的空间，进而触发内存溢出。”

需要注意的是，初始攻击需要攻击者与目标设备保持在一定的距离范围之内。但是，一旦初始攻击获得成功，他们就可以获得对接入点的控制，允许他们拦截网络流量、在芯片上安装后门，或者通过互联网对处于同一网络下的其他联网设备发起攻击。

BLE芯片中的第二个BleedingBit OAD RCE漏洞（CVE-2018-7080）

第二个漏洞被标识为CVE-2018-7080，存在于TI芯片CC2642R2、CC2640R2、CC2640、CC2650、CC2540和CC2541中，影响到Aruba的Wi-Fi接入点300系列。

这个漏洞源于德州仪器（TI）在BLE芯片上的固件升级更新功能问题，该功能被称为“空中固件升级（Air firmware Download，OAD）”。

由于所有安移通接入点都共享相同的OAD密码，并且可以“通过嗅探合法更新或逆向工程安移通的BLE固件获得”，因此攻击者可以通过向目标接入点提交恶意更新并重写其操作系统，从而获得对设备的完全控制权限。

研究人员解释说：“默认情况下，OAD功能不会自动配置为解决安全固件更新问题。它允许通过GATT事务在BLE芯片上运行固件的简单更新机制。”

“攻击者可以通过连接到易受攻击接入点上的BLE芯片并上传包含自己代码的恶意固件，进而全面重写该接入点的操作系统，最终获得对该接入点的完全控制权限。”

了解目前修复补丁的发布情况

Armis公司的安全研究人员表示，他们是在今年早些时候发现了BleedingBit漏洞，随后在6月份向所有受影响的厂商进行了通报，并与这些厂商进行了合作，以帮助他们发布对应的更新来解决这些问题。

德州仪器于本周四证实了这些漏洞，并发布了受影响硬件的修复补丁，而这些补丁也将通过相应的OEM提供。

已收购Meraki的思科于本周四发布了3个Aironet系列无线接入点（1542 AP、1815 AP、4800 AP）和Meraki系列接入点（MR33、MR30H、MR74、MR53E）的BLE-STACK 2.2.2版本，以解决CVE-2018-16986漏洞。

同时，Aruba也为其Aruba 3xx和IAP-3xx系列接入点发布了一个修复补丁，以解决CVE-2018-7080漏洞。

思科和安移通都表示，他们的设备在默认情况下都是禁用蓝牙功能的。另外，目前也没有证据表明BleedingBit已经在实际攻击活动中被利用。