SweynTooth는 일련의 Bluetooth 저에너지 취약점입니다. Defensics Bluetooth LE 테스트 스위트를 사용하여 이러한 취약점을 재현 할 수 있습니다.

SweynTooth 란 무엇입니까?

SweynTooth는 다음에 의해 발견 및 공개 된 Bluetooth 저에너지 취약점의 집합입니다 싱가포르 기술 디자인 연구원. 이 취약점은 480 개의 시스템 온 칩 공급 업체의 다양한 Bluetooth LE 소프트웨어 개발 키트에서 발견되었습니다. 연구원에 따르면 취약한 SDK는 XNUMX 개가 넘는 최종 제품에 사용되었습니다. 발견 된 많은 SweynTooth 취약점과 의료 기기에 대한 위험 및 영향으로 인해 미국 FDA는 안전 커뮤니케이션 잠재적 인 SweynTooth 공격을 적극적으로 감시하고 있습니다. 대부분의 영향을받는 공급 업체는 이미 SDK 용 보안 패치를 출시했습니다. 제품이 영향을받는 경우 최신 SDK 버전으로 업데이트하는 것이 좋습니다.

방어 및 퍼지 소개

방어는 지능이다 퍼지 테스트 250 개가 넘는 사전 빌드 된 세대 테스트 스위트가있는 플랫폼 자동화 된 테스트 방법을 사용하여 테스트 할 시스템에 유효하지 않거나 예기치 않은 입력을 체계적으로 전송하여 알려지지 않은 새로운 취약점을 발견 할 수 있습니다. 방어 엔진은 인터페이스, 프로토콜 또는 파일 형식 등 입력 유형에 대한 기본 지식을 제공합니다. 엔진은 입력 유형 내 통신에 적용되는 규칙을 깊이 이해하고 있기 때문에 해당 입력 유형의 잠재적 보안 취약점을 악용하기 위해 대상 테스트 사례를 제공 할 수 있습니다. Defensics의 자세한 테스트 및보고 기능을 사용하면 이해하기 쉽고 수정 프로세스에 관련된 이해 관계자와 공유 할 수있는 일관된 방식으로 중대한 오류의 근본 원인을 식별 할 수 있습니다.

방어 기능으로 취약점을 재현하는 방법

방어 블루투스 LE 테스트 스위트 ATT, SMP 및 GATT 프로파일과 같은 호스트 스택을 덮습니다. 초기 분석 과정에서 이러한 테스트 스위트를 사용하여 여러 SweynTooth 취약점을 재현 할 수있었습니다. 실제 취약한 장치에 대한 테스트 사례는 확인하지 않았습니다. 다음은 Defensics fuzzing을 통해 탐지 된 몇 가지 유형의 SweynTooth 취약점입니다.

방어로 탐지 된 SweynTooth 취약점의 유형

예기치 않은 공개 키 충돌 (CVE-2019-17520)

스택이 공개 키를 전혀받지 않을 것으로 예상되는 레거시 SMP 구현에서이 SweynTooth 취약점을 발견했습니다. 블루투스 LE SMP 클라이언트 및 서버 테스트 스위트. 다음은 보안 연결 플래그가 0으로 설정되었지만 공개 키가 여전히 전송되는 특정 테스트 사례입니다.

순차 ATT 교착 상태 (CVE-2019-19192)

이 SweynTooth 공격에 취약한 장치는 주변 장치의 ATT 응답을 기다리지 않고 중앙 장치가 연속 된 ATT 요청 패킷을 전송 한 상황을 처리 할 수 ​​없었습니다. 우리는 방어를 사용하여이 취약점을 재현했습니다 블루투스 LE ATT 서버 과 ATT 클라이언트 테스트 스위트. 반복되는 메시지는 기본 테스트 사례 집합의 일부입니다. 아래 스크린 샷은 ATT 읽기 요청이 XNUMX 번 반복되는 테스트 사례를 보여줍니다.

키 크기 오버플로 (CVE-2019-19196)

일부 장치는 페어링 요청에서받은 최대 암호화 키 크기 값을 확인하지 않았기 때문에이 키 크기 오버플로 시나리오에 취약한 것으로 나타났습니다.

방어 사용 블루투스 LE SMP 서버 테스트 스위트는 페어링 요청에서 최대 암호화 키 크기를 조작 한 다음 테스트 응답에 관계없이 암호화를 시작하는 테스트 사례를 작성했습니다. 아래 스크린 샷은 최대 암호화 키 크기가 252 바이트로 설정된 테스트 사례를 보여줍니다.

LTK 설치 없음 (CVE-2019-19194)

LTK 설치 제로 SweynTooth 취약점은 실제로 공격자가 보안 연결 플래그 세트와 함께 페어링 요청을 전송하여 보안 연결 페어링 절차를 시작할 수 있음을 의미합니다. 공격자는 대상이 페어링이 시작된 상태에 있는지 확인하기 위해 페어링 응답을 기다립니다. 그런 다음 공격자는 먼저 페어링을 완전히 마치지 않고 완전히 XNUMX 인 장기 키 (LTK 없음)를 사용하지 않고 암호화를 시작하도록 요청합니다.

예를 들어 공개 키 교환을 생략하고 암호화를 시작하려는 테스트 사례를 실행하는 등 Bluetooth LE SMP Server Test Suite를 사용하면 이러한 시나리오를 달성 할 수 있습니다. 불행히도, Bluetooth LE SMP Server Test Suite는 실제로 암호화를 너무 일찍 시작할 수 있는지 여부를 확인하지 않습니다. 이론적으로이 취약점을 유발할 수 있지만 Wireshark를 사용하여 수동으로 테스트 결과를 검증하고 검증해야 할 수도 있습니다.

아래 스크린 샷은 공개 키가 생략되고 SMP Server Test Suite가 XNUMX LTK를 사용하여 너무 일찍 암호화를 시작하려는 테스트 사례를 보여줍니다. 분명히이 장치는 오류 코드 "PIN 또는 키가 없습니다"로 요청을 거부하므로 취약하지 않습니다.

결론

초기 분석에 따르면, Defensics Bluetooth LE 테스트 스위트는 위의 XNUMX 가지 유형을 발견하는 데 매우 유용합니다. SweynTooth 취약점. 우리는 지속적으로 IoT 제조업체와 협력하여 Defensics의 새로운 취약점을 발견하고 수정합니다. 발견 된 새로운 취약점은 표준 지침 및 공개 프로세스에 따라 즉시보고하고 올바르게 문서화하는 것이 좋습니다.

방어 형 퍼지 테스트에 대해 자세히 알아보기