FragAttacks: Множество уязвимостей Wi-Fi устройств

Данная коллекция атак известна под термином FragAttacks, который обозначает атаки фрагментации (fragmentation) и агрегации (aggregation). Для проведения этих атак необходимо, чтобы злоумышленник находился в пределах досягаемости беспроводной сети.

Три из обнаруженных являются «недостатками архитектуры стандарта Wi-Fi» и затрагивают большинство устройств Wi-Fi. В ходе исследования были обнаружены дополнительные уязвимости, связанные с «широко распространенными ошибками программирования в продуктах Wi-Fi».

Уязвимости затрагивают все протоколы безопасности стандарта Wi-Fi, включая последнюю спецификацию WPA3, а также WPA2 и WEP.

Исследователь отмечает, что ошибки программирования вызывают наибольшее беспокойство из-за их потенциала эксплуатации. Wi-Fi Alliance и ICASI были своевременно предупреждены об уязвимостях, и у производителей Wi-Fi устройств было 9 месяцев для того, чтобы подготовить обновления безопасности для своих устройств и защитить клиентов от атак.

Устройства Wi-Fi следует обновлять по мере выхода официальных патчей от производителей. Некоторые проблемы можно решить с помощью протокола HTTPS.

Ванхоф опубликовал видео в сервисе YouTube, в котором демонстрирует атаки, использующие недостатки реализации Wi-Fi.

Итак, выявлены следующие уязвимости:

Уязвимость внедрения незашифрованного текста

Злоумышленник может создать незашифрованные фреймы Wi-Fi, которые принимаются целевыми устройствами Wi-Fi. Некоторые беспроводные устройства принимают эти фреймы автоматически, другие могут принимать агрегированные фреймы с открытым текстом, если они «выглядят как сообщения рукопожатия».

Данная уязвимость может быть использована, для перехвата клиентского трафика, если обманным путем заставить жертву использовать вредоносный DNS-сервер, как показано в демонстрации (однако у перехваченного трафика может быть другой уровень защиты).

Также уязвимость может применяться к маршрутизаторами для обхода NAT / брандмауэра, позволяя злоумышленнику впоследствии атаковать устройства в локальной сети Wi-Fi (например, атаковать устаревшую машину Windows 7, как показано в демонстрации).

Недостаток архитектуры: атака агрегирования

Аутентификация флага «агрегировано» не выполняется, а значит злоумышленник может изменить его состояние.

Злоумышленник может провести эксплуатацию за счет внедрения произвольных сетевых пакетов, обманным путем заставив жертву подключиться к своему серверу, а затем установив флаг «агрегировано» для тщательно отобранных пакетов. Практически все протестированные устройства были уязвимы для этой атаки. В свою очередь, способность вводить пакеты можно использовать для перехвата трафика жертвы, заставляя ее использовать вредоносный DNS-сервер (показано в демонстрации).

Недостаток архитектуры: атака смешения ключей

Фрагментация Wi-Fi фреймов была разработана для повышения надежности соединений Wi-Fi путем разделения больших фреймов на более мелкие. Проблема в том, что получателям не требуется проверять, были ли зашифрованы фрагменты с использованием одного и того же ключа. Это значит, что фрагменты, дешифрованные с использованием разных ключей, могут быть собраны повторно.

Этот недостаток стандарта Wi-FI может быть исправлен обратно совместимым способом только путем повторной сборки фрагментов, которые были расшифрованы с использованием одного и того же ключа. Поскольку атака возможна в исключительно редких случаях, она считается теоретической атакой.

Недостаток архитектуры: атака на фрагменты кэша

Устройствам Wi-Fi не требуется удалять из памяти неразборчивые фрагменты при отключении клиента. При проведении атаки в память точки доступа внедряется вредоносный фрагмент, чтобы внедренный фрагмент злоумышленника и фрагментированный фрейм клиента были повторно собраны при повторном подключении.

Если жертва отправляет фрагментированные фреймы, то возможна эксфильтрация или кража данных.

Приводим полный список уязвимостей с идентификаторами CVE:

• CVE-2020-24588: атака агрегирования (прием фреймов A-MSDU, не относящихся к SPP).
• CVE-2020-24587: атака смешения ключей (повторная сборка фрагментов, зашифрованных под разными ключами).
• CVE-2020-24586: атака на фрагменты кэша (сохранение фрагментов в памяти при (повторном) подключении к сети).
• CVE-2020-26145: прием транслируемых фрагментов в текстовом виде в качестве полных фреймов (в зашифрованной сети).
• CVE-2020-26144: прием фреймов A-MSDU в открытом текстовом виде, начинающихся с заголовка RFC1042 с EtherType EAPOL (в зашифрованной сети).
• CVE-2020-26140: прием фреймов данных в открытом текстовом виде в защищенной сети.
• CVE-2020-26143: прием фрагментированных фреймов данных с открытым текстом в защищенной сети.
• CVE-2020-26139: пересылка фреймов EAPOL, даже если отправитель еще не аутентифицирован (затрагивает только точки доступа).
• CVE-2020-26146: повторная сборка зашифрованных фрагментов с непоследовательными номерами пакетов.
• CVE-2020-26147: повторная сборка смешанных фрагментов зашифрованного и открытого текста.
• CVE-2020-26142: обработка фрагментированных фреймов как полных фреймов.
• CVE-2020-26141: отсутствует проверка TKIP MIC фрагментированных фреймов.

Вы можете ознакомиться с подробной информацией в исследовательском отчете.