채팅하기
로더
연결을 설정 중입니다. 연결하는 동안 잠시 기다려 주십시오.

개봉박두: 제품 중심 검색 및 안내 탐색을 통해 제품 지원에 대한 접근성을 개선합니다. 여러분의 피드백에 감사드리며 계속 지켜봐 주세요!

출혈비트 보안 취약점

LifeGuard 프로그램 로고

자세한 내용은 다음을 참조하십시오.

Zebra는 이 취약점이 적극적으로 악용된 사례를 발견한 바가 없습니다. 그러나 악용 위험 경감 차원에서, 영향이 있는 두 Zebra 제품의 소프트웨어를 업데이트할 것을 권장합니다. 추가 LifeGuard 업데이트는 없습니다.

Bleeding Bit 로고

BLEEDINGBIT는 텍사스 인스트루먼트가 만든 Bluetooth® 저에너지(BLE) 칩에 영향을 미치는 보안 취약점입니다. 두 가지 관련 원격 제어 악용 문제로 구성됩니다.

메모리 손상 상태(CVE-2018-16986) BLE 모듈에서 잘못된 네트워크 트래픽을 처리하는 동안 발생할 수 있습니다. 대상 장치에 가까운 악의적인 행위자는 잘못된 데이터를 전송하여 임의의 코드를 실행하거나 장치를 종료할 수 있는 DoS(서비스 거부) 조건을 실행할 수 있습니다.

OAD(Over-The-Air) 기능 문제 (CVE-2018-7080) 장치 소유자가 관련 BLE 라디오 기능을 활성화한 경우에만 트리거할 수 있습니다(기본적으로 비활성화됨). 악의적인 행위자는 이러한 이미지의 변경된 복사본을 푸시하여 장치를 제어할 수 있습니다.

영향을 받는 제품

다음 두 개의 BLE 배지 제품만 영향을 받습니다. Zebra 모바일 장치, 핸드헬드 장치, 바코드 스캐너 및 프린터는 영향을 받지 않습니다.
 

Zebra 제품 SKU설명업데이트 가능
GE-MB6000-01-WR모바일 BLE 배지 1월 2019일
GE-MB5000-01-WR고정 BLE 배지1월 2019일

위의 Zebra 장치만 CVE-2018-16986의 영향을 받으며 CVE-2018-7080는 텍사스 인스트루먼트(TI) CC2640 BLE 칩의 OAD 기능이 비활성화되어 있기 때문에 적용되지 않습니다. Zebra 장치는 STMicroelectronics 마이크로 컨트롤러 장치(MCU)와 BLE 칩 CC2640을 가지고 있습니다. MCU 펌웨어는 CYPRESS WICED SDK에 작성됩니다. TI CC2640의 펌웨어는 TI의 BLE SDK 2.1을(를) 기반으로 합니다. MCU는 UART 포트를 통해 CC2640에 연결됩니다. MCU는 BLE HCI 명령을 CC2640으로 보내고, CC2640은 BLE 스캔을 지속적으로 실행하며, CC2640은 스캔한 BLE 패킷을 미리 정의된 형식으로 MCU에 반환합니다.

스캔 과정에서 CVE-2018-16986당 CC2640에 메모리 손상이 발생할 수 있습니다. CC2640가 악용되면 UART 포트를 통해 MCU로 가비지 데이터를 보낼 수 있습니다. MCU는 데이터 자체에 따라 데이터를 폐기하거나 폐기하지 않을 수도 있습니다. 이러한 방식으로 MCU 내에서 수집할 유효한 BLE 패킷 데이터가 없기 때문에 배지는 쓸모없게 될 수 있습니다.

공격자가 장치를 완전한히 제어하려면 공격자는 먼저 MCU의 제어를 획득해야 합니다. 공격자는 WICED SDK와 STM MCU에서도 활성화 취약점을 찾아야 할 것입니다. 그런 다음 해커는 UART 포트를 통해 악용 CC2640 칩을 통해 MCU를 공격해야 합니다. 장치에 대한 완전한 제어를 얻기 위해 MCU를 악용할 가능성(Wicked SDK와 STM MCU 모두에서 발견되지 않은 취약점의 악용과 함께 달성됨)은 상대적으로 낮습니다.

이 취약점의 가능성을 방지하려면 Zebra가 CC2640 펌웨어 코드를 TI BLE SDK 2.2.2(으)로 포트해야 합니다. 새 장치의 경우 업데이트된 CC2640 펌웨어 코드를 사용할 수 있습니다. 배포된 장치의 경우 업데이트된 CC2640 펌웨어는 MCU가 UART 포트를 통해 새로운 펌웨어를 CC2640으로 푸시하는 MCU를 통해 무선으로 업데이트할 수 있습니다.

면책 조항: Zebra는 구글에서 해당 보안 공지를 릴리스하는 시점에 대한 보안 업데이트를 릴리스하려고 모든 노력을 합니다. 그러나 보안 업데이트 실행 시간은 지역, 제품 모델, 타사 소프트웨어 공급업체에 따라 달라질 수 있습니다. 경우에 따라 보안 업데이트 설치 전에 OS를 최신 유지관리 릴리스로 업데이트해야 합니다. 개별 제품 업데이트에서 구체적인 지침을 제공합니다.

달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.



Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?