Redazione RHC : 30 Gennaio 2024 09:16
E’ stata recentemente scoperta una vulnerabilità critica (CVE-2023-45866, CVE-2024-21306) su Bluetooth la quale può essere sfruttata per inserire sequenze di tasti senza la conferma dell’utente, accettando qualsiasi richiesta di accoppiamento Bluetooth. Queste vulnerabilità colpiscono i sistemi operativi Android, Linux, macOS, iOS e Windows, rendendoli una seria minaccia per gli utenti su diverse piattaforme.
La vulnerabilità CVE-2023-45866 ha un impatto significativo sulle Smart TV che utilizzano Android e Linux senza le necessarie patch e sono dotate di interfaccia Bluetooth. Questo rischio si estende ai dispositivi che eseguono webOS basato su Linux o la versione 3 di Google Chromecast TV.
Sfruttando questa vulnerabilità su Chromecast non ancora aggiornati, è possibile attivare la TV attraverso il dongle Chromecast e inserire sequenze di tasti. Nel caso delle smart TV con webOS, dopo aver eseguito l’exploit PoC, compare un popup con il nome del dispositivo connesso, consentendo l’inserimento della sequenza di tasti.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Potrebbero essere potenzialmente coinvolte anche le Fire TV obsolete con Android e altri box TV basati su Android. I test indicano che, se lo script PoC viene eseguito senza interruzioni anomale, il dispositivo risulta vulnerabile.
È anche importante notare che un utente malintenzionato deve conoscere l’indirizzo MAC Bluetooth per eseguire l’exploit. Chromecast trasmette l’indirizzo MAC Bluetooth solo se è in modalità di accoppiamento. La televisione con webOS trasmette l’indirizzo MAC Bluetooth continuamente quando la TV è accesa, quindi non è necessario che sia in modalità di accoppiamento. Ciò significa che è più facile ottenere il MAC e accedere alle TV nelle vicinanze.
Le vulnerabilità sono state scoperte da Marc Newlin , che ha anche pubblicato script di sfruttamento dimostrativi. Utilizzando questi script, è possibile inserire sequenze di tasti in qualsiasi dispositivo Android e Linux senza patch in prossimità Bluetooth impersonando la tastiera Bluetooth.
Tale tastiera Bluetooth forzerà l’accoppiamento di un dispositivo preso di mira senza alcuna interazione o notifica da parte dell’utente, rendendo questo exploit uno 0 clic.
L’aggressore può anche connettersi a iOS tramite spoofing della Magic Keyboard, tuttavia la tastiera deve essere fuori dalla portata del Bluetooth e l’aggressore deve comunque conoscere l’indirizzo MAC della Bluetooth Magic Keyboard, il che in uno scenario reale sarà impegnativo. Se sei interessato a maggiori dettagli su queste vulnerabilità che colpiscono Linux, macOS, iOS e Windows, ti consiglio di leggere il blog originale .
La tabella sopra illustra che Android fino alla versione 10 è vulnerabile e la correzione non è disponibile. Se utilizzi Android 11 e versioni successive, potresti essere ancora vulnerabile senza la patch di sicurezza 2023-12-05.
| Android | 4.2, 5, 6, 7, 8, 9, 10 | CVE-2023-45866 | no fix available | Android 3 and earlier were not tested |
| Android | 11, 12, 13, 14 | CVE-2023-45866 | fixed in 2023-12-05 security patch level | |
| Linux (BlueZ) | Affected Distros | CVE-2023-45866 | BlueZ patch available | |
| macOS | 12, 13 | CVE-2023-45866 | no fix available | macOS 11 and earlier were not tested |
| macOS | 14 | CVE-2023-45866 | fixed in macOS 14.2 | |
| iOS | 16 | CVE-2023-45866 | no fix available | iOS 15 and earlier were not tested |
| iOS | 17 | CVE-2023-45866 | fixed in iOS 17.2 | |
| Windows | 10, 11, Server 2022 | CVE-2024-21306 | fixed in January 2024 Patch Tuesday | earlier versions of Windows were not tested |
La vulnerabilità in Android non richiede alcun clic e i dispositivi non ancora patchati possono essere sfruttati ogni volta che la funzionalità Bluetooth è attiva. È importante notare che questa vulnerabilità interessa esclusivamente la tecnologia Bluetooth classica e non il protocollo Bluetooth Low Energy (BLE). Per sfruttare la vulnerabilità su un dispositivo Android, è necessario inizialmente identificarlo per ottenere il suo indirizzo MAC Bluetooth.
Mentre i dispositivi BLE trasmettono periodicamente pacchetti pubblicitari per essere riconosciuti da altri dispositivi, la rilevazione di un dispositivo Android con Bluetooth classico richiede che quest’ultimo sia in modalità rilevabile.
L’utente deve attivare manualmente questa modalità aprendo le opzioni Bluetooth nelle Impostazioni, consentendo così al suo indirizzo MAC Bluetooth di essere visibile ad altri dispositivi e, in circostanze malevole, a un utente non autorizzato. Con l’indirizzo MAC del dispositivo vulnerabile acquisito, è quindi possibile eseguire l’inserimento di tasti arbitrari per prendere il controllo del bersaglio, rendendo questa situazione un possibile scenario di attacco HID Bluetooth. Per ulteriori dettagli sugli attacchi HID, si consiglia la lettura della guida completa agli attacchi HID che utilizzano gli script Rubber Ducky e l’attacco Bad USB MITM.
RedazioneLa rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello St...
Una vulnerabilità critica nella versione desktop di Docker per Windows e macOS ha consentito la compromissione di un sistema host tramite l’esecuzione di un contenitore dannoso, anche se e...
Finalmente (detto metaforicamente), ci siamo arrivati. Gli esperti di ESET hanno segnalato il primo programma ransomware in cui l’intelligenza artificiale gioca un ruolo chiave. Il nuovo campio...
A partire da metà settembre, la Red Hot Cyber Academy inaugurerà un nuovo capitolo della propria offerta formativa con il lancio del corso “Prompt Engineering: dalle basi alla Cyberse...
SinCity torna a far parlare di sé, questa volta mettendo in vendita l’accesso amministrativo a un nuovo shop online italiano basato su PrestaShop. Secondo quanto dichiarato dallo stesso th...
