Bleedingtooth: Google und Intel warnen vor neuen Bluetooth-Lücken
Noch ist nicht viel bekannt über neue Bluetooth-Lücken, aber sie haben mit Bleedingtooth (CVE-2020-12351, CVE-2020-12352, CVE-2020-24490) schon einen Namen. Google und Intel warnen vor Sicherheitslücken in der Linux-Bluetooth-Implementierung Bluez. Während Andy Nguyen, Sicherheitsforscher bei Google, von einer Code-Ausführung ohne Interaktion innerhalb der Bluetooth-Reichweite berichtet, spricht Intel von einer Rechteausweitung. Derzeit stehen keine gepatchten Bluez-Versionen zur Verfügung. Intel wird für die frühzeitige Veröffentlichung kritisiert.
"Bleedingtooth ist eine Reihe von Zero-Klick-Sicherheitslücken im Linux-Bluetooth-Subsystem, die es einem nicht authentifizierten entfernten Angreifer auf kurze Distanz erlauben könnten, beliebigen Code mit Kernel-Privilegien auf verwundbaren Geräten auszuführen," fasst Nguyen die Problematik auf Twitter(öffnet im neuen Fenster) zusammen. Weitere Details würden in Kürze in einem Blogeintrag in Googles Sicherheitsblog veröffentlicht. Wie Code über die Bluetooth-Lücke auf einem Laptop mit Ubuntu ausgeführt werden kann, demonstriert derweil ein Proof-of-Concept-Video.
Kritik an Intel
Der Sicherheitsforscher Matthew Garrett, ebenfalls von Google, kritisiert derweil Intel für die frühzeitige Veröffentlichung der Schwachstellen(öffnet im neuen Fenster) : Es gebe weder Patches im Linux Kernel 5.9, auch wenn das zum Teil behauptet würde, noch seien die Distributionen benachrichtigt worden. So hätten diese keine rückportierten Patches auf den jeweils von ihnen eingesetzten Kernel-Versionen ausliefern können.
"Fast genau dasselbe passierte Anfang dieses Jahres," schreibt Garrett auf Twitter(öffnet im neuen Fenster) . Damals habe Intel ebenfalls eine Sicherheitslücke in Bluez veröffentlicht, ohne den Bescheid zu geben. Garrett habe dies dann nachträglich getan. Teil des Problems sei zudem, dass die aktuellen Patches in Bluez nicht im Mainline-Branch des Linux-Kernel gelandet seien, sondern im Next-Branch, erwidert Nguyen(öffnet im neuen Fenster) .
Vor besondere Probleme dürfte die Lücke IoT-Geräte auf Linux-Basis stellen, die Bluetooth aktiv verwenden: Während Linux-Distributionen die Patches verteilen, sobald sie verfügbar sind, pflegen Hersteller von Internet-of-Things-Geräten diese oft nur sehr kurz, schlecht oder gar nicht - entsprechend werden bei diesen Geräten die Lücken oftmals sehr spät oder nie geschlossen. Android hat eine eigene Bluetooth-Implementierung und ist daher nicht betroffen.
Nachtrag vom 16. Oktober 2020, 12:30 Uhr
Mittlerweile sind die Patches im Mailine-Kernel angekommen und an Backports für die Stable-Versionen wird gearbeitet. Laut dem Kernel-Log(öffnet im neuen Fenster) hat Intel die Patches bereits Anfang August erstellt, aber über zwei Monate nicht dafür gesorgt, dass die Linux-Distributionen darüber informiert wurden.