CVE-2026-31773 Linux内核蓝牙SMP认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-31773

漏洞类型

认证绕过

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核蓝牙SMP（安全管理协议）模块存在安全漏洞。在传统配对路径的`smp_random()`函数中，系统错误地仅根据本地请求的安全级别将存储的STK（短期密钥）标记为已认证，而忽略了配对流程实际是否进行了MITM（中间人）保护。这导致在“Just Works”等未认证配对场景下，密钥元数据被错误标记，可能使系统误判连接安全性。

技术细节

该漏洞位于Linux内核蓝牙协议栈的SMP层，具体涉及`smp_random()`函数中响应者路径的逻辑处理。在蓝牙传统配对机制下，系统维护一个`pending_sec_level`变量来反映本地服务请求的安全级别（如BT_SECURITY_HIGH）。然而，对于Just Works或Confirm等未经过MITM（中间人）保护的配对方式，`SMP_FLAG_MITM_AUTH`标志位应保持清除状态。

漏洞成因在于，原有代码在存储响应者STK（短期密钥）时，仅依据本地请求的`pending_sec_level`来标记密钥的认证属性，而忽略了实际配对流程中`SMP_FLAG_MITM_AUTH`的真实状态。这导致即使实际配对未进行MITM验证，生成的STK仍被错误标记为“已认证”。攻击者可利用此逻辑漏洞，在无需满足MITM条件的情况下，诱导系统建立看似高安全性的蓝牙连接，从而可能绕过基于密钥认证状态的安全策略，执行未授权操作。

攻击链分析

STEP 1

1. 扫描与发现

攻击者扫描附近的蓝牙设备，寻找处于可发现模式且支持传统配对模式的目标Linux设备。

STEP 2

2. 发起连接

攻击者主动发起与目标设备的蓝牙连接请求。

STEP 3

3. 触发Just Works配对

攻击者诱导设备进入“Just Works”配对流程，该流程无需用户交互或MITM保护（SMP_FLAG_MITM_AUTH为False）。

STEP 4

4. 利用逻辑缺陷

在生成STK（短期密钥）时，利用内核漏洞，系统因本地请求了BT_SECURITY_HIGH而错误地将密钥标记为“已认证”。

STEP 5

5. 提权/数据访问

利用错误标记的认证密钥，访问本应需要MITM保护的高安全级别蓝牙服务或数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
#
# PoC for CVE-2026-31773: Linux Kernel Bluetooth SMP Authentication Bypass
# This script demonstrates the logic flaw where STK is marked as authenticated
# even during a "Just Works" pairing (No MITM).
#
# Note: This is a conceptual simulation to verify the vulnerability logic.

import bluetooth
import time

def simulate_vulnerable_pairing():
    print("[*] Starting Bluetooth pairing simulation...")
    
    # Simulate the vulnerability condition in smp_random()
    # Vulnerable Logic: Check pending_sec_level instead of SMP_FLAG_MITM_AUTH
    
    pending_sec_level = "BT_SECURITY_HIGH"  # Local device requests High Security
    smp_flag_mitm_auth = False              # Actual pairing is Just Works (No MITM)
    
    print(f"[*] Local requested level: {pending_sec_level}")
    print(f"[*] Actual MITM protection status: {smp_flag_mitm_auth}")
    
    # --- Vulnerable Code Path ---
    if pending_sec_level == "BT_SECURITY_HIGH":
        stk_authenticated = True
        print("[!] VULNERABLE: STK marked as AUTHENTICATED based on pending_sec_level.")
    else:
        stk_authenticated = False

    # --- Secure Code Path (Patch) ---
    # if smp_flag_mitm_auth:
    #     stk_authenticated_secure = True
    # else:
    #     stk_authenticated_secure = False

    if stk_authenticated and not smp_flag_mitm_auth:
        print("[+] Exploit Successful: Key is marked authenticated without MITM protection.")
        print("[+] Impact: Attacker can access services requiring High Security.")
        return True
    else:
        print("[-] System behaves correctly.")
        return False

if __name__ == "__main__":
    try:
        result = simulate_vulnerable_pairing()
        if result:
            print("\n[!] System is vulnerable to CVE-2026-31773")
    except Exception as e:
        print(f"Error: {e}")

影响范围

Linux Kernel (修复提交 061ee71ac6b0 之前)

防御指南

临时缓解措施

建议用户在系统更新前禁用蓝牙服务，或仅在受控环境下使用蓝牙。如果必须使用，应确保设备仅与可信设备配对，并尽可能使用安全连接（Secure Connections）模式代替传统配对模式，以规避该逻辑漏洞带来的风险。