您的位置: 首頁 >互聯(lián)網(wǎng) >

芯片級漏洞表明存在接入點攻擊的風(fēng)險

2019-06-06 17:14:01 編輯: 來源:
導(dǎo)讀 一對新的藍(lán)牙安全漏洞使無線接入點受到攻擊。嗯,這值得一看,因為連接芯片的缺陷包括在醫(yī)院使用。安全公司Armis表示,醫(yī)療中心使用BLE跟蹤

一對新的藍(lán)牙安全漏洞使無線接入點受到攻擊。嗯,這值得一看,因為連接芯片的缺陷包括在醫(yī)院使用。

安全公司Armis表示,“醫(yī)療中心使用BLE跟蹤信標(biāo)在復(fù)蘇車等寶貴資產(chǎn)上的位置。零售商使用BLE作為銷售點設(shè)備,以及室內(nèi)導(dǎo)航應(yīng)用.BLE也用于新的智能鎖酒店連鎖店,辦公室和智能家居使用;甚至在汽車中使用。“

BLEEDINGBIT是兩個漏洞的名稱 - 其研究觀察員認(rèn)為這些漏洞與 嵌入思科,Meraki和Aruba接入點的德州儀器藍(lán)牙低功耗芯片密切相關(guān)。

總部位于Palo Alto的Armis的安全研究人員不僅關(guān)注設(shè)備,還關(guān)注為企業(yè)網(wǎng)絡(luò)提供Wi-Fi的接入點。Armis表示它向德州儀器和其他受影響的人報告了這些問題。

Armis研究表示,“這些基于鄰近度的漏洞允許未經(jīng)身份驗證的攻擊者進(jìn)入未被發(fā)現(xiàn)的企業(yè)網(wǎng)絡(luò)。一旦攻擊者控制了接入點,他就可以在網(wǎng)段之間橫向移動,并在它們之間建立橋梁 - 有效地打破了網(wǎng)絡(luò)分割 “。

SC Media的Bradley Barth 表示,Armis在11月1日與卡內(nèi)基梅隆大學(xué)的CERT / CC一起披露了其調(diào)查結(jié)果的細(xì)節(jié),后者發(fā)布了自己的安全咨詢。

TechCrunch的 Zack Whittaker 指出技術(shù)上的本地化 - “因為潛在的攻擊者無法利用互聯(lián)網(wǎng)上的漏洞并且必須在藍(lán)牙范圍內(nèi)。在大多數(shù)情況下,這大約是100米左右。定向天線,因此任何人都坐在辦公樓在他們的車外能切實針對受影響的設(shè)備 “。

Ars Technica的Dan Goodin 表示,“思科,Meraki和Aruba銷售的接入點”有兩個關(guān)鍵漏洞正在修補(bǔ),這些漏洞可能允許黑客使用這些設(shè)備在敏感網(wǎng)絡(luò)內(nèi)部運(yùn)行惡意軟件。

安全大道的 Lucian Constantin :“這些供應(yīng)商占據(jù)了企業(yè)中使用的大多數(shù)接入點,但只有包含受影響的BLE無線電芯片之一的AP才會受到影響。”

基于已建立的藍(lán)牙協(xié)議的BLE協(xié)議被Palo Alto的Armis描述為“相對較新的”,但通過創(chuàng)建緊密結(jié)合的網(wǎng)絡(luò)并實現(xiàn)物聯(lián)網(wǎng)設(shè)備的許多新用途,“更進(jìn)一步”。CNET的Alfred Ng解釋了他們對iOT設(shè)備的親和力。“BLE是與藍(lán)牙不同的標(biāo)準(zhǔn)。2011年作為藍(lán)牙4.0首次推出,它擁有比其前代產(chǎn)品更長的電池壽命。由于壽命長,BLE芯片更有可能用于物聯(lián)網(wǎng)設(shè)備和醫(yī)療設(shè)備。”

阿米斯今天談到了網(wǎng)絡(luò)設(shè)備。他們表示,網(wǎng)絡(luò)設(shè)備“對于黑客來說是一個非常有價值的獎勵” - 只需很少的防御即可獲取信息。

“雖然個人電腦和移動平臺擁有完善的操作系統(tǒng)(操作系統(tǒng)),其中包括固有的緩解措施,但網(wǎng)絡(luò)設(shè)備只有有限的操作系統(tǒng)(如果有的話),并且只有很少的緩解措施。”

Armis宣稱“隨著大量桌面設(shè)備,移動設(shè)備和物聯(lián)網(wǎng)設(shè)備的增加,我們必須確保這些類型的漏洞不被利用。” Armis提供了大量有關(guān)所有這些信息的詳細(xì)信息,包括技術(shù)概述和受影響設(shè)備列表以及受影響的接入點,以及它們的披露過程。

阿米斯表示計劃在12月的黑帽歐洲會議上發(fā)布一份關(guān)于這個問題的白皮書。在他們的演講中,Dor Zusman和Ben Seri將演示漏洞。

該公司已宣布其使命,“消除物聯(lián)網(wǎng)安全盲點。”

“對于第一個漏洞,Armis Labs建議將您的設(shè)備更新為最新的德州儀器版本,”CNET的Alfred Ng報道。對于第二個漏洞,研究人員表示要停止使用Over Air Download,這是一個可選功能。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。