BleedingTooth es el nombre que se les ha dado a un grupo de vulnerabilidades zero-click en el subsistema Bluetooth de Linux que pueden permitir a un atacante remoto y no autenticado ejecutar código arbitrario en el sistema con privilegios de kernel, lo único necesario es que el equipo tenga el Blueetooth encendido y que el atacante esté a corta distancia, o al menos a la distancia de rango del dispositivo Bluetooth.
Las vulnerabilidades fueron divulgadas por Intel como de alta severidad puesto que los fallos afectan a BlueZ, la pila de software que implementa de forma predeterminada todos los protocolos y capas centrales de Bluetooth para Linux.
BlueZ se usa en ordenadores portátiles, y otros productos como los del Internet de las cosas, que vale destacar casi nunca son actualizados. Esta vulnerabilidad no requiere que el usuario haga nada, ni un click en falso, solo que el Bluetooth esté encendido.
Intel recomienda actualizar a un kernel de Linux que aún no existe para solucionar la vulnerabilidad
Es poco lo que se sabe sobre BleedingTooth, y de momento solo tenemos el breve anuncio de Intel, junto a un tweet de Andy Nguyen, ingeniera de seguridad de Google, en el que muestra un vídeo corto mostrando el fallo siendo explotado en Ubuntu:
Nguyen explica que pronto estará disponible un post en el blog de seguridad de Google. Es importante destacar aquí que tanto esta ingeniera como Matthew Garret, otro ingeniero de seguridad en Google, han llamado la atención al cambio en las recomendaciones iniciales de Intel.
Intel inicialmente había publicado el pasado domingo, que la forma más efectiva de parchear las vulnerabilidades era actualizar al kernel de Linux 5.9, uno que recordemos fue liberado apenas el pasado fin de semana. Garret también se queja de que las distros no fueron notificadas con antelación y por ende tampoco pudieron producir parches que estuviesen listos para el lanzamiento.
Si leemos las actuales recomendaciones de Intel, ahora sugieren actualizar al kernel de Linux 5.10 o posterior, un kernel que no será liberado hasta diciembre de 2020 si no hay ninguna eventualidad. Es decir, la vulnerabilidad afecta a todas las versiones del kernel de Linux actuales que soporten BlueZ.
La buena noticia aquí es que el grupo de dispositivos vulnerables no es tan crítico como si esto también afectase a Android, que usa su propia pila de Bluetooth diferente a BlueZ. Y, de momento no se ha reportado que este fallo esté siendo explotado.
La mala noticia es que ordenadores portátiles con Linux, y un sinfín de dispositivos IoT siguen estando expuestos, y estos últimos en especial, sabemos que son una pesadilla de seguridad por el poco o nulo cuidado que se tiene en este aspecto con ellos.
Fuente:www.genbeta.com
