如何保护Linux系统免受BlueBorne远程攻击？

Armis实验室发现了一种新的媒介攻击，它会影响所有启用了蓝牙的设备，包括Linux和IoT系统。

BlueBorne在Linux上的攻击

Armis在Linux操作系统中披露了两个漏洞，攻击者可以利用这些漏洞完全控制受感染的设备。第一个是信息泄漏漏洞，它可以帮助攻击者确定目标设备使用的确切版本并相应地调整其利用。第二个是堆栈溢出，可能导致对设备的完全控制。

例如，所有启用了蓝牙的设备都应标记为恶意。被感染的设备将创建一个恶意网络，使攻击者可以控制其蓝牙范围以外的所有设备。在Linux系统上使用蓝牙连接外围设备（键盘，鼠标，耳机等）会使Linux面临各种风险。

这种攻击不需要任何用户交互，身份验证或配对，因此实际上也不可见。

所有运行BlueZ的Linux设备都受到信息泄漏漏洞（CVE-2017-1000250）的影响。

经过BlueBorne Vulnerability Scanner的检查后，我所有启用了Bluetooth的Linux OS都被标记为易受攻击（Armis的 Android应用程序用于发现易受攻击的设备需要启用设备发现，但攻击仅需要启用Bluetooth。

在Linux系统上使用蓝牙时，是否可以减轻BlueBorne攻击？

BlueBorne漏洞的协调披露日期是2017年9月12日；此后不久，您应该会看到包含问题修复程序的发行版更新。例如：

• RHEL
• Debian CVE-2017-1000250和CVE-2017-1000251

在可以在受影响的系统上更新内核和BlueZ之前，您可以通过禁用蓝牙来缓解问题（当然这可能会带来不利影响，尤其是在使用蓝牙键盘或鼠标的情况下）：

• 将核心蓝牙模块列入黑名单

  printf "install %s /bin/true\n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conf
  

• 禁用并停止蓝牙服务

  systemctl disable bluetooth.service
  systemctl mask bluetooth.service
  systemctl stop bluetooth.service
  

• 卸下蓝牙模块

  rmmod bnep
  rmmod bluetooth
  rmmod btusb
  

  （这可能首先会失败，并显示一条错误消息，指示其他模块正在使用这些模块；您需要删除这些模块并重复上述命令）。

如果您想修补和重建和的BlueZ内核自己，适当的修补程序是可这里的BlueZ和这里的内核。