BrakTooth

Para peneliti telah merilis kode eksploitasi publik dan alat bukti konsep untuk menguji perangkat Bluetooth terhadap bug keamanan System-on-a-Chip (SoC) yang berdampak pada beberapa vendor, termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Secara kolektif dikenal sebagai BrakTooth, 16 kelemahan ini berdampak pada tumpukan Bluetooth komersial pada lebih dari 1.400 chipset yang digunakan di miliaran perangkat seperti smartphone, komputer, perangkat audio, mainan, perangkat IoT, dan peralatan industri.

Daftar perangkat dengan SoC yang rentan termasuk desktop dan laptop Dell, MacBook dan iPhone, beberapa model laptop Microsoft Surface, smartphone Sony dan Oppo, sistem infotainment Volo.

(Kamis, 4/11/21)CISA meminta vendor untuk menambal kerentanan ini setelah peneliti keamanan merilis bukti alat konsep untuk menguji perangkat Bluetooth terhadap eksploitasi BrakTooth.

federal agency juga mendorong produsen dan pengembang untuk meninjau rincian kerentanan yang diterbitkan oleh para peneliti pada bulan Agustus dan “memperbarui aplikasi Bluetooth System-on-a-Chip (SoC) yang rentan atau menerapkan solusi yang sesuai.”

Vendor Masih Mengerjakan Patch BrakTooth
Dampak yang terkait dengan bug BrakTooth adalah penolakan layanan (DoS) dengan merusak firmware perangkat atau membekukannya dengan memblokir komunikasi Bluetooth hingga eksekusi kode arbitrer yang dapat menyebabkan pengambilalihan total tergantung pada SoC rentan yang digunakan dalam target.

Pelaku ancaman yang mungkin ingin meluncurkan serangan BrakTooth hanya memerlukan papan ESP32 siap pakai yang harganya kurang dari $15, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan proof-of-concept (PoC) alat.

Sementara beberapa vendor telah mengeluarkan patch keamanan untuk mengatasi kerentanan BrakTooth, akan memakan waktu berbulan-bulan untuk menyebar ke semua perangkat yang belum ditambal.

Dalam kasus lain, vendor masih menyelidiki masalah, masih mengerjakan patch, atau belum mengumumkan status patch mereka.

Daftar vendor yang terkena dampak yang dilacak oleh peneliti dan status patch dapat ditemukan di tabel yang disematkan di bawah.

sumber: BLEEPING COMPUTER

Kerentanan secara kolektif disebut sebagai BrakTooth mempengaruhi Bluetooth stacks yang diimplementasikan pada sirkuit system-on-a-chip (SoC) dari lebih dari selusin vendor.

Serangkaian masalah berdampak pada berbagai perangkat, mulai dari elektronik konsumen hingga peralatan industri. Risiko terkait berkisar dari penolakan layanan, kondisi kebuntuan perangkat hingga eksekusi kode arbitrer.

Para peneliti dari Singapore University of Technology and Design telah menerbitkan rincian tentang BrakTooth – keluarga baru kerentanan keamanan dalam Bluetooth stacks komersial.

Mereka menilai 13 perangkat Bluetooth dari hampir selusin vendor SoC termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Menggali lebih dalam, para peneliti menemukan bahwa lebih dari 1.400 daftar produk dipengaruhi oleh BrakTooth, dan daftar tersebut termasuk tetapi tidak terbatas pada jenis perangkat: Smartphone, Sistem infotainment, Sistem laptop dan desktop, Perangkat audio (speaker, headphone), Sistem hiburan rumah, Keyboard, mainan, Peralatan industri (misalnya pengontrol logika yang dapat diprogram – PLC)

Mempertimbangkan berbagai produk yang terpengaruh, kemungkinan besar bahwa BrakTooth memengaruhi miliaran perangkat.

Para peneliti mengatakan bahwa risiko yang terkait dengan serangkaian kelemahan keamanan BrakTooth berkisar dari penolakan layanan (DoS) dengan merusak firmware perangkat, atau kondisi kebuntuan di mana komunikasi Bluetooth tidak lagi memungkinkan, hingga kode arbitrer.

Seseorang yang melakukan serangan BrakTooth akan memerlukan kit pengembangan ESP32, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan alat proof-of-concept (PoC).

Dari 16 kerentanan BrakTooth, salah satunya dilacak sebagai CVE-2021-28139 menghadirkan risiko yang lebih tinggi daripada yang lain karena memungkinkan eksekusi kode arbitrer.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

CISA Mendesak Vendor untuk Menyelesaikan Patch Bug BrakTooth

Bug Bluetooth BrakTooth dapat memengaruhi miliaran perangkat

BrakTooth

Cookies Settings