Los atacantes pueden explotar un error crítico de seguridad de Bluetooth que, según se informa, ha estado acechando durante varios años para tomar el control de máquinas con Android, Linux, macOS e iOS.
La falla, CVE-2023-45866, es una omisión de autenticación que permite a los atacantes conectar dispositivos susceptibles e inyectar pulsaciones de teclas para lograr la ejecución del código como víctima.
En una publicación del blog de GitHub del 6 de diciembre, el investigador de SkySafe, Marc Newlin, dijo que la falla funciona engañando a la máquina de estado del host Bluetooth para que se empareje con un teclado falso sin la confirmación del usuario.
Newlin continuó escribiendo que el mecanismo de emparejamiento no autenticado subyacente está definido en la especificación de Bluetooth, y los errores específicos de la implementación lo exponen al atacante. Dijo que los detalles completos de la vulnerabilidad y los scripts de prueba de concepto se publicarán en una próxima conferencia, y que actualizará el documento original con los detalles de la conferencia cuando estén disponibles. El blog de Newlin también contiene información sobre parches disponibles.
La directora de Cyware, Emily Phelps, explicó que en este exploit, los adversarios engañan al sistema Bluetooth de un dispositivo haciéndole creer que se está conectando a un teclado falso, sin la confirmación del usuario. Este problema surge de una parte de las reglas de Bluetooth que permiten que los dispositivos se conecten sin necesidad de autenticación.
La explotación de esta vulnerabilidad permite a los piratas informáticos maliciosos controlar de forma remota el dispositivo de alguien, dijo Phelps. Pueden descargar aplicaciones, enviar mensajes o ejecutar varios comandos según el sistema operativo.
Phelps dijo que si hay parches disponibles para esta vulnerabilidad, los equipos de seguridad deberían solucionar el problema de inmediato. Para los dispositivos que están esperando la solución, los equipos de seguridad deben monitorear las actualizaciones y parches. También deben informar al personal sobre el problema y ofrecer recomendaciones de mitigación, como desactivar Bluetooth cuando no esté en uso.
Cuando los dispositivos se comunican, primero hay un apretón de manos en el que los dos sistemas acuerdan comunicarse entre sí, explicó John Gallagher, vicepresidente de Viakoo Labs. Lo que el atacante aprovechó, continuó Gallagher, es que muchos dispositivos IoT, como los teclados Bluetooth, quieren hacer que ese apretón de manos sea lo más fácil posible, especialmente porque el teclado no se puede usar hasta que se complete el apretón de manos. Entonces, en el exploit descubierto por Newlin, Gallagher dijo que el apretón de manos fue mínimo: Veo que eres un teclado, así que déjame hablar conmigo.
En muchos dispositivos de IoT, las comunicaciones están configuradas de forma predeterminada para que estén disponibles: Wi-Fi, Bluetooth y Zigbee, dijo Gallagher. Los conjuntos de chips que utilizan suelen tener todos los protocolos estándar compatibles, por lo que pueden utilizarse en una amplia gama de sistemas. Como parte de la puesta en servicio de nuevos dispositivos, las organizaciones deben desactivar cualquier protocolo que no se esté utilizando.
Gallagher también señaló que mantener la seguridad física, con videovigilancia y control de acceso, es otra forma en que las organizaciones pueden proteger su infraestructura, y agregó que muchos ciberataques como este se facilitan si el actor de la amenaza puede obtener acceso físico.
Ésta es otra razón por la que los sistemas de seguridad física suelen ser el objetivo de piratas informáticos maliciosos, afirmó Gallagher.