Vulnerabilidad en el emparejamiento heredado y la autenticación de emparejamiento de conexiones seguras en Bluetooth BR/EDR Core Specification (CVE-2020-10135)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/05/2020
Última modificación:
21/12/2021
Descripción
El emparejamiento heredado y la identificación de emparejamiento de conexiones seguras en Bluetooth BR / EDR Core Specification v5.2 y anteriores pueden permitir que un usuario no identificado complete la autenticación sin emparejar credenciales a través de acceso adyacente. Un atacante adyacente no autenticado podría hacerse pasar por un maestro o esclavo Bluetooth BR / EDR para emparejarse con un dispositivo remoto previamente emparejado para completar con éxito el procedimiento de autenticación sin conocer la clave de enlace
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bluetooth:bluetooth_core:*:*:*:*:br:*:*:* | 5.2 (incluyendo) | |
| cpe:2.3:a:bluetooth:bluetooth_core:*:*:*:*:edr:*:*:* | 5.2 (incluyendo) | |
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00009.html
- http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00047.html
- http://packetstormsecurity.com/files/157922/Bluetooth-Impersonation-Attack-BIAS-Proof-Of-Concept.html
- http://seclists.org/fulldisclosure/2020/Jun/5
- https://francozappa.github.io/about-bias/
- https://kb.cert.org/vuls/id/647177/
- https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/bias-vulnerability/