Атаки KRACK (Key Reinstallation Attacks) происходили несколько лет назад. Так называли инструменты, которые позволяют эксплуатировать критичные уязвимости в протоколе WPA2, который считается достаточно надежным. KRACK дает возможность обойти защиту и прослушивать трафик в беспроводной сети на участке «точка доступа — компьютер».
Сейчас один из организаторов группы, который рассказал о KRACK в 2017 году, раскрыл еще несколько уязвимостей. Всего их 12, и каждая из них — критически опасна, поскольку затрагивает широкий спектр беспроводных устройств.
Уязвимости, информацию о которых он предоставил, представляют угрозу для подавляющего большинства популярных беспроводных девайсов — как пользовательских, так и корпоративных.
Что за уязвимости?
Разработчик объединил все 12 уязвимостей в один «пакет», который получил название FragAttacks — примерно так, как 4 года назад другие атаки стали называть KRACK. Тогда представленные инструменты использовали метод реинсталляции ключей шифрования, которые защищают трафик WPA2. Сейчас ситуация несколько иная.
Инструменты можно условно поделить на две категории:
- В первую входит 3 уязвимости, которые выявлены в стандартах Wi-Fi. Она затрагивает абсолютно все устройства, поддерживающие набор стандартов IEEE 802.11. По словам разработчиков, некоторые уязвимости были актуальны даже в 1997 году, они же позволяют взломать беспроводное устройство и скомпрометировать сеть и сейчас.
- Во вторую группу входят 9 частных проблем, которые имеют отношение уже к конкретным реализациям беспроводных стеков. То есть каждая уязвимость в этой группе вызвана наличием ошибок или технических проблем в стеках.
А вот для нивелирования угрозы со стороны уязвимостей второй группы следует приложить гораздо больше усилий. Здесь никакие сценарии не требуются, а уязвимости актуальны вне зависимости от того, какой протокол безопасности используется — WPA2, WPA3 или что-то еще.
Че по списку
Разработчик назвал все 12 уязвимостей. Ниже — краткое описание уязвимостей и проблем, с ними связанных.CVE-2020-24588. Уязвимость позволяет реализовать атаку на агрегированные фреймы. Пример атаки — перенаправление юзера на вредоносный DNS-сервер или в обход механизма трансляции адресов.
CVE-2020-245870. Смешивание ключей, в результате чего злоумышленник может определять данные, которые отправляются клиентом. Пример — определение содержимого Cookie при обращении по HTTP.
CVE-2020-24586. Атака на кэш фрагментов, что дает возможность заменить данные клиента данными злоумышленника.
CVE-2020-26140 и CVE-2020-26143 позволяют использовать подстановку фреймов ряда моделей точек доступа и беспроводных карт. Злоумышленник может их использовать для внедрения фреймов данных вне зависимости от текущей конфигурации сети.
CVE-2020-26145. Дает злоумышленнику возможность внедрять произвольные сетевые пакеты вне зависимости от конфигурации сети. Уязвимы практически любые сети с защитой WEP, WPA2 и WPA3. Проблема здесь в обработке широковещательных незашифрованных фрагментов как полноценных фреймов.
CVE-2020-26144. Уязвимые реализации Wi-Fi принимают фреймы A-MSDU с открытым текстом до тех пор, пока первые 8 байтов соответствуют допустимому заголовку (то есть LLC / SNAP) для EAPOL. Злоумышленник получает возможность внедрять произвольные сетевые пакеты вне зависимости от конфигурации сети.
CVE-2020-26139. Позволяет перенаправлять фреймы с флагом EAPOL, отправленных неавторизованным источником. Эта уязвимость характерна для многих протестированных точек доступа.
CVE-2020-26142. Фрагментированные фреймы обрабатываются как полные.
CVE-2020-26141. Нет проверки TKIP MIC для фрагментированных фреймов.
CVE-2020-26146. Позволяет выполнять пересборку зашифрованных фрагментов без проверки порядка номеров этих фрагментов.
CVE-2020-26147. Дает возможность пересобирать смешанные, зашифрованные и незашифрованные фреймы.
Использовние уязвимостей
Если коротко, то большинство уязвимостей дает возможность реализовать подстановку L2-фреймов в сети, защищенной тем или иным протоколом. Это, как и в случае KRACK, позволяет злоумышленнику получить доступ к трафику жертвы и начать его анализировать.Самый доступный для злоумышленника способ сделать это — подмена ответов DNS, что дает возможность направить пользователя на подставной хост, развернутый злоумышленником. Кроме того, можно еще использовать уязвимости для обхода NAT на роутере с организацией открытого доступа к скомпрометированному девайсу в локальной сети. Есть еще и возможность обхода ограничений брандмауэра. Часть уязвимостей дают возможность получать данные о трафике в сети жертвы, с его перехватом. Правда, только тех, что передаются в открытом, незашифрованном виде.
Насколько эти уязвимости еще актуальны?
Хороший вопрос, но однозначного ответа на него дать нельзя. Производителям информация об уязвимостях была отправлена около 9 месяцев назад, после чего были подготовлены изменения спецификаций и обновлений вендорами, а также такими организациями, как ICASI и Wi-Fi Alliance.Среди тестируемых были эти устройства:
