セキュリティブログ

【注意喚起/脆弱性情報/JPCERTCC】Bluetooth の実装における脆弱性 “BlueBorne” に関する注意喚起

2017.09.14

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)さんから9月13日、「Bluetooth の実装における脆弱性 “BlueBorne” に関する注意喚起」が発表されています。

※以下、JPCERTCCさんウェブサイトより抜粋

各位

                                                   JPCERT-AT-2017-0037
                                                             JPCERT/CC
                                                            2017-09-13

                  <<< JPCERT/CC Alert 2017-09-13 >>>

      Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170037.html


I. 概要
複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne"
に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され
た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり
するなどの可能性があります。

    Armis
    The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device
    https://www.armis.com/blueborne/

本脆弱性は、複数の OS やデバイスに影響が及ぶとされています。開発者から
の情報に基づき、ソフトウエアのアップデートの適用を行うなどの対策を検討
してください。


II. 対象
"BlueBorne" として報告されている一連の脆弱性は、複数の OS やデバイスが
対象となります。報告者からは、影響を受ける対象の OS として次が挙げられ
ています。

    - Android
      - セキュリティ パッチ レベル 2017年 9月を適用していない Android
        (CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)
    - Windows
      - 2017年 9月マイクロソフトセキュリティ更新プログラムを適用してい
        ない Windows Vista 以降の Windows (CVE-2017-8628)
    - Linux
      - Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251)
      - BlueZ すべてのバージョン (CVE-2017-1000250)
    - iOS, tvOS
      - iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前
        (CVE-2017-14315)

脆弱性の報告者によれば、iOS について、iOS 10 は、既に対策が施されている
とのことです。

脆弱性の影響を受ける製品は、今後拡大する可能性があります。各製品の開発
者からの情報に注意してください。


III. 対策
OS の開発者より、本脆弱性に関する情報が提供されています。開発者からの情
報に注意し、アップデート等の対策を行ってください。

    - Android
      Android Security Bulletin―September 2017
      https://source.android.com/security/bulletin/2017-09-01

    - Windows
      CVE-2017-8628 | Microsoft Bluetooth ドライバーのなりすましの脆弱性
      https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628

    - Linux
      - RedHat
        Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251
        https://access.redhat.com/security/vulnerabilities/blueborne
        CVE-2017-1000250
        https://access.redhat.com/security/cve/CVE-2017-1000250
      - ubuntu
        Bluetooth/BlueZ  information disclosure in BlueZ and remote code execution in the  bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250,  CVE-2017-1000251 aka BlueBorne)
        https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne


IV. 参考情報
    Armis
    The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device
    https://www.armis.com/blueborne/

    CERT/CC Vulnerability Note VU#240311
    Multiple Bluetooth implementation vulnerabilities affect many devices
    https://www.kb.cert.org/vuls/id/240311

  US-CERT
    BlueBorne Bluetooth Vulnerabilities
    https://www.us-cert.gov/ncas/current-activity/2017/09/12/BlueBorne-Bluetooth-Vulnerabilities

    JVNVU#95513538
    様々な Bluetooth 実装に複数の脆弱性
    https://jvn.jp/vu/JVNVU95513538/

今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

※ここまで

ご確認とご対応をよろしくお願いいたします。