Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2017-0810 [1.03]

Kwetsbaarheden verholpen in Bluetooth

14-09-2017 - Er zijn meerdere kwetsbaarheden ontdekt in de Bluetooth implementatie van verscheidende besturingssystemen. Sommige fabrikanten hebben al updates beschikbaar gesteld om de kwetsbaarheden te verhelpen, waaronder Google voor Android en Apple voor iOS. Andere fabrikanten zullen in de aankomende tijd updates beschikbaar stellen om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Kwetsbaarheden verholpen in Bluetooth
Advisory ID     : NCSC-2017-0810
Versie          : 1.03
Kans            : medium
CVE ID          : CVE-2017-0781, CVE-2017-0782, CVE-2017-0783,
                  CVE-2017-0785, CVE-2017-8628, CVE-2017-1000250,
                  CVE-2017-1000251
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Manipulatie van gegevens
                  Remote code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20170914
Toepassing      : 
Versie(s)       : 
Platform(s)     : Apple iOS
                  Google Android
                  Linux
                  Microsoft Windows

Update
   Er zijn updates beschikbaar gesteld voor CentOS 7, Debian 8 & 9 en
   Fedora 26 om de kwetsbaarheid met kenmerk CVE-2017-1000250 te
   verhelpen. Oracle heeft updates beschikbaar gesteld voor Oracle
   Linux 7 om de kwetsbaarheid met kenmerk CVE-2017-1000251 te
   verhelpen.
   
   Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Er zijn meerdere kwetsbaarheden ontdekt in de Bluetooth
   implementatie van verscheidende besturingssystemen. Sommige
   fabrikanten hebben al updates beschikbaar gesteld om de
   kwetsbaarheden te verhelpen, waaronder Google voor Android en Apple
   voor iOS.
   
   Andere fabrikanten zullen in de aankomende tijd updates beschikbaar
   stellen om de kwetsbaarheden te verhelpen. 

Gevolgen
   De kwetsbaarheden in de Bluetooth implementaties maken het mogelijk
   voor een kwaadwillende in het bereik van het bluetooth-apparaat om:
   
   - willekeurige code uit te voeren met verhoogde rechten;
   - gevoelige informatie te achterhalen;
   - een Man-in-the-Middle-aanval uit te voeren.

Beschrijving
   - CVE-2017-0781
   Er bevindt zich een kwetsbaarheid in Bluetooth Network Encapsulation
   Protocol (BNEP) service van Android. Dit protocol wordt gebruikt
   voor het delen van een internetverbinding via een
   Bluetooth-connectie. Door deze kwetsbaarheid is het mogelijk voor
   een kwaadwillende in het bereik van het Bluetooth-apparaat om
   willekeurige code uit te voeren met verhoogde rechten zonder
   gebruikers interactie.
   
   - CVE-2017-0782
   Er bevindt zich een kwetsbaarheid in de Personal Area Networking
   (PAN)-service van Android. Dit protocol wordt gebruikt voor het
   opzetten van een IP-based network connectie tussen twee apparaten.
   Door deze kwetsbaarheid is het mogelijk voor een kwaadwillende in
   het bereik van het Bluetooth-apparaat om willekeurige code uit te
   voeren met verhoogde rechten zonder gebruikers interactie.
   
   - CVE-2017-0783 / CVE-2017-8628
   Het is mogelijk voor een kwaadwillende in het bereik van het
   bluetooth-apparaat om toegang te verkrijgen tot het PAN-profiel en
   zodoende een MiTM-aanval uit te voeren wanneer de gebruiker een
   connectie opent met een publiek beschikbaar WiFi punt.
   
   Dit is mogelijk omdat voor toegang tot de PAN-profielen alleen een
   laag security niveau nodig is; dit niveau kan verkregen worden door
   kwaadwillende zonder dat er interactie nodig is met het slachtoffer.
   
   Door toegang tot de PAN-profielen kan een kwaadwillende een Network
   Access Point(NAP) definiëren wat standaard gebruikt zal worden door
   het apparaat om al het netwerkverkeer over te versturen. Deze
   kwetsbaarheid bevindt zich in de Android en Windows implementaties
   van Bluetooth.
   
   - CVE-2017-0785 / CVE-2017-1000250
   Er bevindt zich een kwetsbaarheid in de SDP (Service Discovery
   Protocol)-server van Android en Linux. Door het versturen van
   specifieke requests is het mogelijk voor een kwaadwillende in de
   nabijheid van het bluetooth-apparaat om systeem informatie te
   verkrijgen. 
   
   Dit kan ertoe leiden dat de kwaadwillende toegang krijgt tot de
   encryptiesleutels van het Bluetooth-apparaat. Hierdoor is het
   mogelijk voor de kwaadwillende om de andere Bluetooth connecties af
   te luisteren. 
   
   - CVE-2017-1000251
   De Bluetooth-stack van de Linux-kernel bevat een kwetsbaarheid in
   L2CAP (Logical Link Control and Adaptation Protocol). Dit protocol
   wordt gebruikt voor het opzetten van een connectie tussen twee
   Bluetooth-apparaten. Door deze kwetsbaarheid is het mogelijk voor
   een kwaadwillende in het bereik van het Bluetooth-apparaat om
   willekeurige code uit te voeren met root-rechten zonder gebruikers
   interactie.
   
   - CVE-2017-14315
   Apple heeft een protocol ontwikkeld genaamd LEAP (Low energy audio
   protocol) wat gebruik maakt van Bluetooth om audio te streamen naar
   low-energy randapparatuur. Dit protocol bevat een kwetsbaarheid
   waardoor grote audio commando's kan leiden tot geheugen-corruptie.
   Dit kan misbruikt worden door een kwaadwillende in het bereik van
   het Bluetooth-apparaat om willekeurige code uit te voeren op het
   kwetsbare apparaat door het versturen van specifieke audio
   commando's.
   
   
   Wanneer er updates gepubliceerd zullen worden die de kwetsbaarheden
   zullen verhelpen zal het NCSC deze bij u kenbaar maken middels een
   update van dit beveiligingsadvies. Wanneer er geen updates
   beschikbaar zijn voor het apparaat raden wij aan om Bluetooth in het
   geheel uit te schakelen.

Mogelijke oplossingen
   -= Android =-
   Google heeft updates uitgebracht om de kwetsbaarheden met kenmerk
   CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 en CVE-2017-0785 te
   verhelpen. Echter in hoeverre de recente security patches
   beschikbaar zijn voor een specifieke Android-apparatuur hangt af van
   de fabrikant. Voor meer informatie over de beveiligingsupdate van
   Google, zie het volgende:
      
   https://source.android.com/security/bulletin/2017-09-01
   
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 7 om de
   kwetsbaarheid met kenmerk CVE-2017-1000250 te verhelpen. U kunt deze
   updates installeren met behulp van het commando 'yum'. Voor meer
   informatie en een eventueel handmatige installatie, zie:
   
   https://lists.centos.org/pipermail/centos-announce/2017-September
      /022535.html
   
   -= Debian =-
   Debian heeft updates van bluez beschikbaar gesteld voor Debian 8.0
   (Jessie) en Debian 9.0 (Stretch) om de kwetsbaarheid met kenmerk
   CVE-2017-1000250 te verhelpen. U kunt de aangepaste packages
   installeren door gebruik te maken van 'apt-get update' en 'apt-get
   upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
   
   https://www.debian.org/security/2017/dsa-3972
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 26 om de
   kwetsbaarheid met kenmerk CVE-2017-1000250 te verhelpen. U kunt deze
   updates installeren met behulp van het commando 'dnf' of 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/thread
      /AWVMZIXGZ564SXHHRWGEALD7LRSJGI5Q/
   
   -= iOS =-
   Apple iOS 10 is niet vatbaar voor de kwetsbaarheid met kenmerk
   CVE-2017-14315. Echter Apple iOS versie 9 of eerder zijn wel vatbaar
   voor de kwetsbaarheid.
   
   -= Oracle =-
   Oracle heeft patches uitgebracht voor Oracle Linux 6 om de
   kwetsbaarheid met kenmerk CVE-2017-1000250 te verhelpen. Tevens zijn
   er updates beschikbaar gesteld voor Oracle Linux 7 voor de
   kwetsbaarheden met kenmerk CVE-2017-1000250 en CVE-2017-1000251.
   Meer informatie vindt u in de beveiligingsadviezen van Oracle:
   
   Oracle Linux 6 & 7 (CVE-2017-1000250):
   https://linux.oracle.com/errata/ELSA-2017-2685.html
   
   Oracle Linux 7 (CVE-2017-1000251):
   https://linux.oracle.com/errata/ELSA-2017-2685.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 6 en 7 om de kwetsbaarheid met kenmerk CVE-2017-1000250 te
   verhelpen. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   Red Hat 6:
   https://access.redhat.com/errata/RHSA-2017:2681
   
   Red Hat 7:
   https://access.redhat.com/errata/RHSA-2017:2679
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 14.04 LTS,
   16.04 LTS en 17.04 om de kwetsbaarheid met kenmerk CVE-2017-1000250
   te verhelpen. U kunt de aangepaste packages installeren door gebruik
   te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:
   
   https://usn.ubuntu.com/usn/usn-3413-1/
   
   -= Windows =-
   Microsoft heeft updates beschikbaar gesteld waarmee de kwetsbaarheid
   met kenmerk CVE-2017-8628 wordt verholpen. We raden u aan om deze
   updates te installeren. Meer informatie over de kwetsbaarheden, de
   installatie van de updates en eventuele workarounds vindt u op:
         
   https://portal.msrc.microsoft.com/en-us/security-guidance

Hyperlinks
   https://www.armis.com/blueborne/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 21495)
Charset: utf-8

wsDVAwUBWbpK6yhuEbXFfhL2AQhqHwv9GDR0L0Dp/aSDdbkmk+sFDTvN63eEKEvi
3FNosabJwd9lDHR34f/VQMvCJoUBCHcEQU2BSTauMMrw65v2uFilxs66triGtvDi
Vy9Pte2ZjOAfiltMD2DPXz+YTeCoW0J8O1muPFxqQhBgJEunWsGDQhZkGByCtkML
m2NuNnwpE4UApaOnd9sxre+2WVCfZNt3AEsTwoeiRZXjuJECpcJFGiXuONHze2U7
SI3ZfSTd9lhB3dZyJ4JvZEwvXiHhaZbUBEsB3OIZW/g3FTMjDoG/cvJLybYQbo0A
CmU94IPS/YKK60xygnFOYf08sKnXZHKw7wR8/iUIwiOT56qA6S4VfCLW15fnk+lD
wcrKM/PlBhb8l77HUW9tOs11tHQ2q+uoV/Aw7nV9/4Em2nbn+66LedIibJjLbdX1
AQ2vH31fE1c3E/to7RuPWRqu60hVEkYPCUdUkaiifxpwnAifJcLnT6S4S1VnwEGr
dfLTAJspf4M+H0sJpR+a9NG2dGKz+GOK
=SfpG
-----END PGP SIGNATURE-----

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017