สรุปย่อ
บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ใหม่ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip ที่ผลิตจาก Texas Instruments (TI) ทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถรันคำสั่งเป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบกับอุปกรณ์ที่ใช้ chip ดังกล่าวซึ่งรวมไปถึง Access point สำหรับ enterprise ที่ผลิตโดย Cisco, Meraki และ Aruba ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ภายในองค์กรว่าได้รับผลกระทบหรือไม่ และทำการอัปเดตแพตช์จากผู้ผลิตเพื่อความปลอดภัย

รายละเอียด
เมื่อวันที่ 1 พฤศจิกายน 2018 บริษัทด้านความปลอดภัยบน IoT (Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ประกาศการค้นพบช่องโหว่ใหม่ ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip โดยบริษัท Armis เป็นผู้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" เมื่อปี 2017 ที่ผ่านมาอีกด้วย

ในปัจจุบัน Bluetooth Low Energy หรือ Bluetooth 4.0 ถูกใช้งานอย่างแพร่หลายในอุปกรณ์ที่ส่งข้อมูลเพียงเล็กน้อยผ่าน Bluetooth เช่น smart home, smart lock, อุปกรณ์เพื่อสุขภาพ, อุปกรณ์กีฬาอัจฉริยะ และอุปกรณ์อื่นๆ อีกมาก ซึ่ง Bluetooth Low Energy มีระยะส่งสัญญาณกว่า 100 เมตร

Armis กล่าวว่าช่องโหว่ BLEEDINGBIT นี้ส่งผลกระทบกับผู้ผลิตอุปกรณ์ทั้งหมดที่ใช้ Bluetooth Low Energy chip ที่ผลิตจาก Texas Instruments (TI) ซึ่งจะรวมไปถึง Access point สำหรับ enterprise ผลิตโดย Cisco, Meraki และ Aruba ทำให้ผลกระทบจากช่องโหว่นี้กระจายเป็นวงกว้างเพราะทั้งสามเป็นผู้ผลิตครองยอดขายอุปกรณ์ Access point กว่า 70% โดยผู้โจมตีสามารถใช้ช่องโหว่ BLEEDINGBIT เพื่อทำ remote code execution บนอุปกรณ์ที่มีช่องโหว่ได้  หากอุปกรณ์ดังกล่าวเป็น Access point สำหรับ enterprise ผู้โจมตีจะสามารถโจมตีระบบเน็ตเวิร์คขององค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่ได้โดยไม่ถูกตรวจจับได้
รายละเอียดทางเทคนิค
ช่องโหว่ BLEEDINGBIT ประกอบด้วย 2 ช่องโหว่ คือ ช่องโหว่รหัส CVE-2018-16986 และ ช่องโหว่รหัส CVE-2018-7080
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่ BLEEDINGBIT ตัวแรก (CVE-2018-16986) เป็นช่องโหว่ที่พบใน TI chip ที่ใช้ในหลายอุปกรณ์ เกิดเมื่อเปิดอุปกรณ์เปิด BLE ไว้ ผู้โจมตีที่อยู่ในระยะของสัญญาณสามารถดำเนินการโจมตีได้ในขั้นตอนดังนี้

ผู้โจมตีส่ง packet ที่สร้างมาไปยังอุปกรณ์ packet ดังกล่าวจะไม่เป็นอันตรายในตัวมันเอง แต่บรรจุ code อันตรายที่จะถูกใช้ในขั้นตอนต่อมา อุปกรณ์จะเก็บ packet ดังกล่าวไว้ใน memory ของอุปกรณ์ ซึ่ง Armis กล่าวว่าขั้นตอนนี้จะไม่สามารถตรวจจับได้ด้วย traditional security solutions
ผู้โจมตีส่ง overflow packet ไปยังอุปกรณ์ ทำให้เกิด memory overflow จนกระทั่งเกิดการรัน code ในข้อ 1

โดยเมื่อผู้โจมตีสามารถรัน code อันตรายได้แล้ว ผู้โจมตีจะสามารถติดตั้ง backdoor, ส่งคำสั่งต่างๆ ไปยังอุปกรณ์ ไปจนถึงควบคุมอุปกรณ์ดังกล่าวได้อย่างเบ็ดเสร็จ ซึ่ง Armis ได้วิจัยช่องโหว่นี้บน access point เท่านั้น ซึ่งหากผู้โจมตีสามารถควบคุม access point ได้ก็จะสามารถเข้าถึงระบบเน็ตเวิร์คได้ และสามารถโจมตีไปยังเครื่องอื่นๆ บนระบบเน็ตเวิร์คเดียวกันได้ (lateral movement)
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่ BLEEDINGBIT ตัวที่สองนี้กระทบเฉพาะ Aruba Access Point Series 300 เนื่องจากมีการใช้ความสามารถ OAD (Over the Air firmware Download) จาก TI  ซึ่ง TI แนะนำว่าความสามารถ OAD สามารถใช้ในช่วงการพัฒนาอุปกรณ์เท่านั้นและควรปิดเมื่ออุปกรณ์อยู่ในช่วง production

ถ้า access points มีการเปิดทิ้งความสามารถ OAD ไว้ ผู้โจมตีที่อยู่ในระยะจะสามารถเข้าถึง access points, ใช้ความสามารถ OAD เป็น backdoor และ install firmware ตัวอื่นๆ เพื่อเขียนทับ operating system ให้กับ access points ได้ ทำให้ผู้โจมตีสามารถควบคุม access point ดังกล่าวได้อย่างเบ็ดเสร็จ และสามารถโจมตีต่อเนื่องได้แบบเดียวช่องโหว่แรก

ใน access points ของ Aruba มีการเปิดใช้ความสามารถ OAD ไว้ในอุปกรณ์ที่วางขายแล้ว แม้ว่าจะมีการป้องกันความสามารถ OAD โดยการใส่ hardcode รหัสผ่าน แต่ผู้โจมตีสามารถหารหัสผ่านได้จากการดักจับอัปเดตจากผู้ผลิตหรือการ reverse engineering firmware
อุปกรณ์ที่ได้รับผลกระทบ
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นดังนี้

CC2640 (non-R2) ที่มี BLE-STACK รุ่น 2.2.1 หรือรุ่นก่อนหน้า
CC2650 ที่มี BLE-STACK รุ่น 2.2.1หรือรุ่นก่อนหน้า
CC2640R2F ที่มี SimpleLink CC2640R2 SDK รุ่น 1.00.00.22 (BLE-STACK 3.0.0)
CC1350 ที่มี SimpleLink CC13x0 SDK รุ่น 2.20.00.38 (BLE-STACK 2.3.3) หรือรุ่นก่อนหน้า

Armis รายงานว่าช่องโหว่ใน TI chip รุ่นที่กล่าวมาจะกระทบกับอุปกรณ์ Access points ดังนี้

Cisco Access points

Cisco 1800i Aironet Access Points
Cisco 1810 Aironet Access Points
Cisco 1815i Aironet Access Points
Cisco 1815m Aironet Access Points
Cisco 1815w Aironet Access Points
Cisco 4800 Aironet Access Points
Cisco 1540 Aironet Series Outdoor Access Point

Meraki Access points

Meraki MR30H AP
Meraki MR33 AP
Meraki MR42E AP
Meraki MR53E AP
Meraki MR74

ทั้งนี้ Armis ยังไม่ทราบแน่ชัดว่ามีอุปกรณ์จากผู้ผลิตอื่นๆ ได้รับผลกระทบจากช่องโหว่นี้หรือไม่
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นที่มีความสามารถ OAD

cc2642r
cc2640r2
cc2640
cc2650
cc2540
cc2541

และกระทบกับอุปกรณ์ Access points ของ Aruba ดังนี้

AP-3xx and IAP-3xx series access points
AP-203R
AP-203RP
ArubaOS 6.4.4.x prior to 6.4.4.20
ArubaOS 6.5.3.x prior to 6.5.3.9
ArubaOS 6.5.4.x prior to 6.5.4.9
ArubaOS 8.x prior to 8.2.2.2
ArubaOS 8.3.x prior to 8.3.0.4

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ว่าได้รับผลกระทบหรือไม่ และสามารถอ่านวิธีแก้ไขและค้นหาแพตช์สำหรับอัปเดตได้จาก Cisco security advisory , Aruba security advisory และ Vulnerability Note VU#317277
ควรปิดการใช้งาน BLE หากไม่จำเป็น โดยสามารถอ่านวิธีปิดการใช้งาน BLE ของ Meraki ได้จากที่นี่
ผู้ผลิตที่ใช้ TI chip อ่านรายละเอียดเพิ่มเติมและค้นหาแพตช์ของ BLE-STACK สำหรับอัปเดตได้จาก http://www.