Sicherheitsforscher warnen vor mehreren Sicherheitslücken in der Linux-Bluetooth-Implementierung Bluez. Eine davon ist schwerwiegend und erlaubt Remote Code Execution. Dem aktuellen Kernel 5.9 fehlen die Patches dagegen.
Noch ist nicht viel bekannt über die neuen Bluetooth-Lücken. Immerhin haben sie mit Bleedingtooth (CVE-2020-12351, CVE-2020-12352 und CVE-2020-24490) bereits einen Namen. “Bleedingtooth besteht aus einer Reihe von Zero-Klick-Sicherheitslücken im Linux-Bluetooth-Subsystem, die es einem nicht authentifizierten entfernten Angreifer auf kurze Distanz erlauben könnten, beliebigen Code mit Kernel-Privilegien auf verwundbaren Geräten auszuführen”, fasst Nguyen die Problematik auf Twitter zusammen.
Weitere Details würden in Kürze in einem Blogeintrag in Googles Sicherheitsblog veröffentlicht. Wie ein Angreifer über die Bluetooth-Lücke Code auf einem Laptop mit Ubuntu ausgeführt werden kann, demonstriert derweil ein Proof-of-Concept-Video. Auch Proof-of-Concept-Code für die schwere Lücke ist verfügbar.
Während Andy Nguyen, Sicherheitsforscher bei Google, von einer Code-Ausführung ohne Interaktion innerhalb der Bluetooth-Reichweite berichtet, will Intel nur eine Rechte-Ausweitung sehen. Dass derzeit noch keine gepatchten Bluez-Versionen bereitstehen, wird auch auf die frühzeitige Veröffentlichung der Lücke durch Intel zurückgeführt.
Kritik an Intel
Der Sicherheitsforscher Matthew Garrett, der ebenfalls für Google arbeitet, kritisiert Intel für die frühzeitige Veröffentlichung der Schwachstellen: Es gebe weder Patches im Linux Kernel 5.9, auch wenn das zum Teil behauptet würde, noch seien die Distributionen benachrichtigt worden. daher konnten diese bislang keine rückportierten Patches auf den jeweils von ihnen eingesetzten Kernel-Versionen ausliefern.
“Fast genau dasselbe passierte Anfang dieses Jahres”, schreibt Garrett auf Twitter. Damals habe Intel ebenfalls eine Sicherheitslücke in Bluez veröffentlicht, ohne den Distributionen Bescheid zu geben. Garrett habe dies dann nachträglich getan. Teil des Problems sei zudem, dass die aktuellen Patches in Bluez nicht im Mainline-Branch des Linux-Kernel gelandet seien, sondern im Next-Branch, erwiderte Nguyen.
Vor besondere Probleme dürfte die Lücke auch IoT-Geräte auf Linux-Basis stellen, die Bluetooth aktiv verwenden: Während Linux-Distributionen die Patches verteilen, sobald sie verfügbar sind, pflegen Hersteller von Internet-of-Things-Geräten diese oft nur sehr kurz, schlecht oder gar nicht — entsprechend werden bei diesen Geräten die Lücken oftmals sehr spät oder nie geschlossen.
