Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 1107

AVIS CERTFR - 2022 - AVI - 1107

Objet : Multiples vulnérabilités dans Bluetooth Core Specification

Référence : CERTFR-2022-AVI-1107

Risque(s)

- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Bluetooth Core Specification versions 1.0B à 5.3 (pour la CVE-2022-25837)
- Bluetooth Core Specification versions 4.0 à 5.3 (pour la CVE-2022-25836)

Résumé

De multiples vulnérabilités ont été découvertes dans Bluetooth. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.

Solution

Ces deux vulnérabilités permettent à un attaquant de contourner la phase d’authentification entre deux équipements communiquant soit via le protocole Bluetooth Low Energy (BLE) soit Bluetooth Basic Rate/Enhanced Data Rate (BR/EDR). En exploitant ces vulnérabilités, l’attaquant est en mesure de s’insérer dans la communication (attaque de l’homme du milieu ou man-in-the-middle, MITM), lui permettant d’espionner les échanges et potentiellement altérer leur intégrité.

Ces vulnérabilités doivent être prises en compte dans l’analyse de risques s’il n’est pas possible de désactiver le mode ‘Legacy Pairing’ sur tous les équipements devant se connecter entre eux et forcer l’usage exclusif du mode ‘Secure Connections Only Mode’.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Bluetooth du 11 décembre 2022 https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/confusion-in-br-edr/  
- Bulletin de sécurité Bluetooth du 11 décembre 2022 https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/confusion-in-ble-passkey/  
- Référence CVE CVE-2022-25836
https://www.cve.org/CVERecord?id=CVE-2022-25836  
- Référence CVE CVE-2022-25837
https://www.cve.org/CVERecord?id=CVE-2022-25837  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1107/  

AVIS CERTFR - 2023 - AVI - 0063

26 janvier 2023
actualite

Objet : Vulnérabilité dans GrafanaRéférence : CERTFR-2023-AVI-0063Risque(s)- Élévation de privilègesSystèmes affectés - Grafana versions 9.3.x anté... Lire la suite[+]

AVIS CERTFR - 2023 - AVI - 0062

26 janvier 2023
actualite

Objet : Vulnérabilité dans Xen libxlRéférence : CERTFR-2023-AVI-0062Risque(s)- Déni de service à distanceSystèmes affectés- Xen versions 4.17.x san... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-1107