-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden aangetroffen in
Bluetooth-specificaties
Advisory ID : NCSC-2021-0447
Versie : 1.00
Kans : medium
CVE ID : CVE-2020-26555, CVE-2020-26556, CVE-2020-26557,
CVE-2020-26558, CVE-2020-26559, CVE-2020-26560
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : medium
Omzeilen van authenticatie
Omzeilen van beveiligingsmaatregel
Spoofing
Toegang tot systeemgegevens
Uitgiftedatum : 20210525
Toepassing : Bluetooth
Versie(s) :
Platform(s) :
Beschrijving
Onderzoekers hebben zeven kwetsbaarheden ontdekt in twee onderdelen
van de Bluetooth-standaard. Specifiek gaat het om de Bluetooth Core
Specification en Bluetooth Mesh Specification 1.0 en 1.0.1.
De kwetsbaarheden stellen een kwaadwillende in staat om
Bluetooth-apparaten te spoofen tijdens het pairingproces met een
ander Bluetooth-apparaat of, in geval van een Mesh-netwerk, tijdens
het provisioningproces. Daarnaast kunnen de kwetsbaarheden worden
misbruikt voor het achterhalen van authenticatiegegevens die tijdens
het pairing- of provisioningproces worden gebruikt.
Succesvol misbruik van de kwetsbaarheden kan een kwaadwillende in
staat stellen om een verbinding tot stand te brengen met een ander
Bluetooth-apparaat of Bluetooth Mesh-netwerk. Hierdoor kan de
kwaadwillende bijvoorbeeld toegang krijgen tot informatie die over
de Bluetoothverbinding wordt verzonden of mogelijk de werking van
een Bluetooth-apparaat beïnvloeden.
Mogelijke oplossingen
CERT/CC houdt een pagina bij met details over de kwetsbaarheden. Op
die pagina wordt tevens vermeld welke leveranciers hebben aangegeven
getroffen te zijn. Onder andere Android, Cisco, Intel en Red Hat
komen in dit overzicht voor. Voor meer informatie, zie:
https://kb.cert.org/vuls/id/799380
Deze NCSC-advisory wordt bijgewerkt zodra productupdates door de
getroffen leveranciers beschikbaar worden gesteld.
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
wsDVAwUBYKzvSuEs56R4sCd0AQq1KgwAmbn+ylg/o1T3arR6pekrEBCRZW3CQnuY
TWdAhHLZdt7cX49zRzgFxoC5wlbCLWok+cEDMDAlKBdwLqsDgelbOhu4yyQyBB+k
m/H5FuFXdSyua17dmYu1fm0fb6HtAZCVuQ3DUc1IqkpjKdwJQrAClQLxL1gbjWmT
Y0buK7TrA01N4btqnubeWWxNRirtNdUj3mUc5pTNEC7WA3BbLbM3Ur9Sq4idj7Jx
pbW6bdNggeAtCohx2XvYhpBRTH3P2sr31XVu+lkcsORxnM6LMgsYztEYF6jWGY6J
3fLPkLZX0Mp7ddYTnmQbFZ/1xFXqjJCtNaaGHVKn6Gp0sV47nvDylRitg8K7ZJFa
jPav8oOd1g56weRpIJX6wYDMfKO8kkPDZ2W45BkNAmCXrDnH2snpZem/3p+NC5bw
MvLvLpngnjPiYS6fhx/jW/QnMd9SaNzKIR0YeCRTF2eRp0cZecl+1OkcVZ5R0/xD
V7Tx+F/MjjhPuarZloFXw9JaLydBhxuB
=vkrs
-----END PGP SIGNATURE-----
