Secondo il team di sicurezza di Google, “le potenziali vulnerabilità di sicurezza nello stack Bluetooth di Linux (CVE-2020-12351, CVE-2020-12352, CVE-2020-24490) possono consentire l’escalation dei privilegi o la divulgazione di informazioni”. Buona norma è sempre rifiutare richieste di connessione BT da fonti sconosciute e mantenere disattivato il Bluetooth se non è in uso

È stata nominata “BleedingTooth” la serie di vulnerabilità “zero- click” individuata nello stack Bluetooth di Linux (CVE-2020-12351, CVE-2020-12352, CVE-2020-24490) e che è risultata responsabile dell’esposizione i PC con sistema operativo Linux e una gran quantità di modelli di router e dispositivi IoT ad attacchi cyber.

Al proposito, i ricercatori di sicurezza di Google hanno dichiarato che “le potenziali vulnerabilità di sicurezza in BlueZ possono consentire l’escalation dei privilegi o la divulgazione di informazioni. BlueZ sta per rilasciare correzioni del kernel Linux per affrontare queste potenziali vulnerabilità”.

In cosa consiste effettivamente la minaccia “BleedingTooth”?

Nel testo del comunicato emesso da Google si legge inoltre che “un utente malintenzionato remoto a breve distanza che conosce l’indirizzo BD_ADDR (Bluetooth Device Address) della vittima può inviare un pacchetto l2cap dannoso e causare la negazione del servizio o eventualmente l’esecuzione di codice arbitrario con privilegi del kernel”.

Il rischio interessa il kernel Linux 4.8 e le versioni successive, ma può essere riscontrato anche nello stack del protocollo BlueZ open source comunemente in uso nei sistemi operativi Linux per PC, su alcuni dispositivi IoT e router. E anche i chip Bluetooth dannosi possono attivare la vulnerabilità.

Nel recente Proof of Concept (POC), effettuato su un sistema Ubuntu 20.04 (LTS) e pubblicato su GitHub, il team di sicurezza di Google dimostra come un pacchetto Bluetooth malevolo, messo a punto appositamente, possa scatenare un “kernel panic” (analogo alla schermata di errore blu dei sistemi Windows) capace di mandare in totale caos il protocollo L2CAP (Logical link control and adaptation protocol) e la struttura dati heap.

Il rischio è grave (Intel), ma tutelarsi è possibile

Tra le molte individuate, la più rischiosa vulnerabilità riguarda la CVE-2020-12351 (con un punteggio CVSS di 8,3 su 10): dopo aver analizzato la documentazione raccolta Andy Nguyen, ingegnere di sicurezza, Intel ha definito “grave” il rischio legato al bug di sicurezza, invitando contestualmente tutti i gestori di sistemi Linux ad effettuare prima possibile l’aggiornamento a una diversa versione (la prima versione Linux che risulterebbe sicura è la 5.9).

Chiunque nel raggio del segnale Bluetooth può ottenere, grazie alla falla, l’accesso root a qualsiasi prodotto, anche un dispositivo IoT, che esegue BlueZ. “BleedingTooth è un insieme di vulnerabilità a zero-click nel sottosistema Bluetooth di Linux- ha spiegato Nuguyen – che può permettere a un aggressore remoto non autenticato a breve distanza di eseguire codice arbitrario con privilegi del kernel su dispositivi vulnerabili”, quelli cioè che utilizzano un kernel Linux dalla versione 2.4.6 in poi.

Sebbene per sfruttare la vulnerabilità sia necessario trovarsi in prossimità di un dispositivo Linux vulnerabile per sfruttare il bug BleedingTooth, e sebbene al momento non sarebbero ancora emersi attacchi informatici che hanno sfruttato tale vulnerabilità, conviene sempre rifiutare richieste di connessione BT da fonti sconosciute e mantenere disattivato il Bluetooth se non è in uso.