보안 공지 사항

Bluetooth SIG '사칭 공격에 관한 진술' Bluetooth Mesh 프로비저닝' 취약점

프랑스 국립 정보 보안 연구소(ANSSI)의 연구원들과 퍼듀 대학교의 연구원들은 블루투스® 메시 프로필 사양 버전 1.0 및 1.0.1의 프로비저닝과 관련된 보안 취약점을 독립적으로 확인했습니다. 이 두 연구 그룹은 인증값에 대한 지식이 없는 공격자가 프로비저닝 중인 장치를 스푸핑하여 조작된 응답을 사용하여 인증값을 보유한 것처럼 보이고 유효한 네트워크 키 와 잠재적으로 애플리케이션 키 발급받을 수 있다는 사실을 확인했습니다.

이 공격이 성공하려면 공격 디바이스가 메시 프로비저너 무선 범위 내에 있어야 하며, 무선으로 프로비저너 디바이스의 ID를 스푸핑하거나 프로비저너 제어하는 서브넷 직접 프로비저너 합니다. 인증값 없이 인증에 성공한 공격자는 서브넷 프로비저닝된 노드가 액세스가 거부되거나 공격 노드가 존재하지 않는 새 서브넷 형성될 때까지 해당 노드에 허용된 모든 작업을 수행할 수 있습니다.

Bluetooth SIG 잠재적으로 취약한 메시 프로비저닝이 인증 절차를 제한하고 로컬 장치에서 선택한 것과 동일한 원격 피어의 임의 프로비저닝 및 프로비저닝 확인 번호를 허용하지 않을 것을 권장합니다.

Bluetooth SIG 또한 이 취약점과 구제에 대한 세부 사항을 광범위하게 전달하고 있습니다. 회원, 회원사 기업과 필요한 패치를 신속하게 통합하도록 장려하고 있습니다.  언제나 처럼, Bluetooth 사용자는 장치 및 운영 체제 제조업체에서 최신 권장 업데이트를 설치했는지 확인해야 합니다.

자세한 내용은 CERT 조정 센터의진술서를 참조하십시오.