チャットでのお問い合わせ
ローダー
接続中です。しばらくお待ちください。

近日リリース予定:製品サポートへのアクセスを向上させる製品に焦点を当てた検索とガイド付きナビゲーション。ご意見ありがとうございました。

ブリーディングビットのセキュリティ脆弱性

LifeGuardプログラムのロゴ

詳細については、以下を参照してください。

Zebraは、この脆弱性の有効な悪用を認識していません。ただし、影響を受ける2つのZebra製品のソフトウェアを更新して、悪用のリスクを軽減することをお勧めします。追加のLifeGuardの更新は行いません。

Bleeding Bit ロゴ

BLEEDINGBITとは、テキサス・インスツルメンツ(Texas Instruments)社製の Bluetooth® 低エネルギー(BLE)チップに影響を及ぼすセキュリティ上の脆弱性です。これには、関連する2つの遠隔操作悪用問題が含まれます:

メモリ破損状態(CVE-2018-16986):BLE モジュールからの不正なネットワーク トラフィックの処理中に発生。 悪意のある行為者がターゲット デバイスの近くで、不正なデータを送信して任意のコードを実行したり、DoS (サービス拒否) 状態を実行してデバイスをシャットダウンしたりします。

Over-The-Air Download (OAD) 機能 問題 (CVE-2018-7080):デバイス所有者によって関連する BLE 無線機能が有効にされている場合にのみ発生(この機能はデフォルトでは無効)。悪意のある行為者は、これらの画像の改ざんされたコピーをプッシュし、デバイスをコントロールすることができます。

影響を受ける製品

影響を受けるのは、以下の2つのBLEバッジ製品のみです。Zebraモバイルデバイス、ハンドヘルドデバイス、バーコードスキャナ、プリンタは影響を受けません。
 

Zebra製品 SKU説明利用可能な更新
GE-MB6000-01-WRモバイルBLEバッジ 1月、2019日
GE-MB5000-01-WR固定のBLEバッジ1月、2019日

上記の Zebra デバイスのみが CVE-2018-16986 の影響を受けます。テキサス・インスツルメンツ(TI)社製 CC2640 BLE チップの OAD 機能は無効になっているため、CVE-2018-7080 は適用されません。Zebraデバイスには、STマイクロエレクトロニクスマイクロコントローラユニット(MCU)とBLEチップCC2640が搭載されています。MCU ファームウェアは CYPRESS WICED SDK に書き込まれています。TI CC2640のファームウェアは、TIのBLE SDK 2.1をベースとしています。MCUはUARTポートを介してCC2640に接続します。MCU は、CC2640 に BLE HCI コマンドを送信し、CC2640 は継続的に BLE スキャンを行います。また CC2640 はスキャンされたBLEパケットを所定のフォーマットで MCU に返します。

スキャン処理中に、CVE-2018-16986 により、CC2640 のメモリ破損が発生する場合があります。CC2640 が悪用された場合、UART ポートを介して MCU にゴミ データが送信される可能性があります。MCUは、データそのものによって、データを破棄することもあれば、破棄しないこともあります。これでは、MCU内で収集する有効なBLEパケットデータが存在しないため、バッジが役に立たなくなる可能性があります。

攻撃者はデバイスを完全に制御したい場合、まずMCUを制御する必要があります。攻撃者は、WICED SDKとSTM MCUにも有効な脆弱性を見つける必要があります。ハッカーは次に、UARTポート経由で悪用されたCC2640チップを介して、MCUを攻撃する必要があります。Wicked SDK とSTM MCU の両方に存在する未発見の脆弱性を悪用することで、MCUを悪用してデバイスを完全に制御できる可能性は比較的低いです。

この潜在的な脆弱性を回避するには、CC2640ファームウェアコードをTI BLE SDK2.2.2にZebraが移植する必要があります。この更新されたCC2640ファームウェアコードは新たなデバイスに使用することができます。展開されたデバイスの場合、更新された CC2640 ファームウェアは、MCU を通じて無線で更新することができ、MCU は UART ポートを介して新しいファームウェアを CC2640 にプッシュします。

免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OSを最新のメンテナンスリリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。

特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。



Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?