FragAttacks позволяет хакерам вводить вредоносный код или команды в зашифрованный трафик Wi-Fi.
ДЭН ГУДИН - 5/21/2021, 3:39
Одна из вещей, которая заставляет Wi-Fi работать, - это его способность разбивать большие куски данных на меньшие куски и объединять меньшие куски в большие куски, в зависимости от потребностей сети в данный момент. Оказывается, эти обыденные сетевые сантехнические функции таят в себе уязвимости, которые могут быть использованы для отправки пользователей на вредоносные веб-сайты или для использования подключенных к сети устройств, как показывают недавно опубликованные исследования.
В целом, исследователь Мати Ванхоеф обнаружил десяток уязвимостей, либо в спецификации Wi-Fi, либо в том, как спецификация была реализована в огромном количестве устройств. Vanhoef окрестил уязвимости FragAttacks, сокращенно от fragmentation и aggregation attacks, потому что все они включают фрагментацию кадров или агрегацию кадров. В широком смысле, они позволяют людям в пределах радиуса действия вводить кадры по своему выбору в сети, защищенные шифрованием на основе WPA.
Плохие новости
Оценка влияния уязвимостей не является простой. Фрагаттаки позволяют вводить данные в трафик Wi-Fi, но они не позволяют ничего эксфильтратировать. Это означает, что FragAttacks не могут быть использованы для чтения паролей или другой конфиденциальной информации , как это сделала предыдущая Wi-Fi атака Vanhoef, называемая Krack. Но оказывается, что уязвимости—некоторые из которых были частью Wi-Fi с момента его выпуска в 1997 году—могут быть использованы для нанесения других видов ущерба, особенно в сочетании с другими типами взломов.
“Никогда не бывает хорошо, когда кто-то может сбрасывать пакеты в вашу сеть или нацеливать ваши устройства в сети”, - написал Майк Кершоу, эксперт по безопасности Wi-Fi и разработчик беспроводного сниффера Kismet с открытым исходным кодом и IDS. “В некоторых отношениях это не хуже, чем использование незашифрованной точки доступа в кафе—кто—то может сделать то же самое с вами там, тривиально, - но поскольку они могут произойти в сетях, которые вы иначе считали бы безопасными и могли бы настроить как доверенную сеть, это, безусловно, плохая новость.”
Он добавил: “В целом, я думаю, что они дают кому-то, кто уже нацелился на атаку против человека или компании, точку опоры, которую они не имели бы раньше, что, безусловно, влияет, но, вероятно, не представляет такого огромного риска, как атаки на проезжающих мимо людей.”
В то время как недостатки были раскрыты на прошлой неделе в отраслевых усилиях за девять месяцев, во многих случаях остается неясным, какие устройства были уязвимы к каким уязвимостям и какие уязвимости, если таковые имеются, получили обновления безопасности. Почти наверняка многие устройства с поддержкой Wi-Fi никогда не будут исправлены.
Мошенническая инъекция DNS
Одна из самых серьезных уязвимостей в пакете FragAttacks находится в самой спецификации Wi-Fi. Отслеживаемый как CVE-2020-24588, этот недостаток может быть использован таким образом, что устройства Wi-Fi будут использовать мошеннический DNS-сервер, который, в свою очередь, может доставлять пользователей на вредоносные веб-сайты, а не на те, которые они предназначали. Оттуда хакеры могут читать и изменять любой незашифрованный трафик. Мошеннические DNS - серверы также позволяют хакерам выполнять атаки с повторной привязкой DNS, при которых вредоносные веб-сайты манипулируют браузером для атаки на другие устройства, подключенные к той же сети.
Мошеннический DNS-сервер вводится, когда злоумышленник вводит рекламу маршрутизатора ICMPv6 в трафик Wi-Fi. Маршрутизаторы обычно выдают эти объявления, чтобы другие устройства в сети могли их найти. Введенное объявление предписывает всем устройствам использовать DNS, указанный злоумышленником, для поиска как IPv6, так и IPv4-адресов.
Эксплойт, демонстрируемый в видео, опубликованном Vanhoef, показывает, как злоумышленник заманивает цель на веб-сайт, который прячет рекламу маршрутизатора в изображении.
Вот визуальный обзор:
В электронном письме Ванхоф объяснил: “Реклама маршрутизатора IPv6 помещается в полезную нагрузку (то есть часть данных) пакета TCP. Эти данные по умолчанию передаются приложению, создавшему TCP-соединение. В демо-версии это будет браузер, который ожидает изображение. Это означает, что по умолчанию клиент не будет обрабатывать рекламу маршрутизатора IPv6, а вместо этого будет обрабатывать полезную нагрузку TCP в виде данных приложения.”
Ванхоф сказал , что можно выполнить атаку без взаимодействия с пользователем, когда точка доступа цели уязвима для CVE-2021-26139, одной из 12 уязвимостей, составляющих пакет FragAttacks. Недостаток безопасности проистекает из недостатка ядра в NetBSD 7.1, который заставляет точки доступа Wi-Fi пересылать Расширяемый протокол аутентификации (AP) через кадры локальной сети на другие устройства, даже если отправитель еще не прошел аутентификацию на AP.
Это безопасно пропустить вперед, но для тех, кто интересуется конкретной программной ошибкой и причиной, по которой видео-демонстрация использует вредоносное изображение, Ванхоф объяснил:
Чтобы заставить жертву обрабатывать полезную нагрузку TCP (т. е. часть данных) как отдельный пакет, используется недостаток агрегации в Wi-Fi. То есть злоумышленник перехватывает вредоносный TCP-пакет на уровне Wi-Fi и устанавливает флаг "is aggregated" в заголовке Wi-Fi. В результате приемник разделит кадр Wi-Fi на два сетевых пакета. Первый сетевой пакет содержит часть исходного заголовка TCP и отбрасывается. Второй пакет соответствует полезной нагрузке TCP, которая, как мы убедились, теперь будет соответствовать пакету ICMPv6, и в результате реклама маршрутизатора ICMPv6 теперь обрабатывается жертвой как отдельный пакет. Таким образом, близость к жертве необходима для установки флага Wi-Fi "is aggregated", чтобы вредоносный TCP-пакет был разделен получателем на две части.
Недостаток конструкции заключается в том, что противник может изменить/установить флаг "агрегируется" так, чтобы получатель этого не заметил. Этот флаг должен быть аутентифицирован, чтобы получатель мог определить, был ли он изменен.
Можно выполнить атаку без взаимодействия с пользователем, когда точка доступа уязвима для CVE-2020-26139. Из четырех протестированных домашних маршрутизаторов две имели эту уязвимость. Похоже, что большинство маршрутизаторов на базе Linux подвержены этой уязвимости. В исследовательской статье более подробно обсуждается, как это работает—по сути, вместо того, чтобы включать рекламу маршрутизатора ICMPV6 в вредоносный TCP-пакет, она может быть включена в незашифрованное сообщение рукопожатия (которое AP затем переадресует клиенту, после чего противник может снова установить флаг "is aggregated" и т. Д.).
Пробивая дыру в брандмауэре
Четыре из 12 уязвимостей, составляющих фрагаттаки, являются недостатками реализации, то есть они проистекают из ошибок, которые разработчики программного обеспечения ввели при написании кода на основе спецификации Wi-Fi. Злоумышленник может использовать их против точек доступа, чтобы обойти ключевое преимущество безопасности, которое они предоставляют.
Помимо разрешения нескольким устройствам совместно использовать одно подключение к Интернету, маршрутизаторы не позволяют входящему трафику достигать подключенных устройств, если устройства не запросили его. Этот брандмауэр работает с помощью преобразования сетевых адресов, или NAT, который сопоставляет частные IP-адреса, которые AP назначает каждому устройству в локальной сети, с одним IP-адресом, который AP использует для передачи данных через Интернет.
В результате маршрутизаторы пересылают данные на подключенные устройства только тогда, когда они предварительно запросили их с веб-сайта, почтового сервера или другой машины в Интернете. Когда одна из этих машин пытается отправить незапрошенные данные на устройство за маршрутизатором, маршрутизатор автоматически отбрасывает их. Это устройство не идеально, но оно обеспечивает жизненно важную защиту, которая защищает миллиарды устройств.
Ванхоф выяснил, как использовать эти четыре уязвимости таким образом, чтобы злоумышленник, как он выразился, “пробил дыру в брандмауэре маршрутизатора”.
В одной из демонстраций видео Ванхоф использует уязвимости для управления устройством Интернета вещей, в частности для удаленного включения и выключения умной розетки. Обычно NAT запрещает устройству вне сети взаимодействовать с сокетом, если только сокет не инициировал соединение. Эксплойты реализации устраняют этот барьер.
В отдельной демонстрации Vanhoef показывает, как уязвимости позволяют устройству в Интернете инициировать соединение с компьютером под управлением Windows 7, операционной системой, которая перестала получать обновления безопасности много лет назад. Исследователь использовал эту способность, чтобы получить полный контроль над ПК, отправив ему вредоносный код, который использовал критическую уязвимость под названием BlueKeep
“Это означает, что когда точка доступа уязвима, становится легко атаковать клиентов!” - писал Ванхоф. “Таким образом, мы злоупотребляем недостатками реализации Wi-Fi в точке доступа в качестве первого шага, чтобы впоследствии атаковать (устаревших) клиентов.”
Получение вашей дозы
Несмотря на то, что Ванхоф потратил девять месяцев на согласование патчей с более чем дюжиной производителей аппаратного и программного обеспечения, нелегко выяснить, какие устройства или программное обеспечение уязвимы к каким уязвимостям и какие из этих уязвимых продуктов получили исправления.
На этой странице представлен статус продуктов нескольких компаний. Более полный список известных рекомендаций приведен здесь. Другие рекомендации доступны индивидуально от соответствующих поставщиков. Уязвимости, которые нужно искать, таковы:
Недостатки конструкции:
CVE-2020-24588: агрегационная атака (прием кадров не SPP A-MSDU)
CVE-2020-24587: смешанная ключевая атака (повторная сборка фрагментов, зашифрованных под разными ключами)
CVE-2020-24586: атака фрагментного кэша (не очистка фрагментов из памяти при (повторном)подключении к сети)
Уязвимости реализации, позволяющие внедрять фреймы открытого текста:
CVE-2020-26145: Прием фрагментов широковещательной передачи открытого текста в виде полных кадров (в зашифрованной сети)
CVE-2020-26144: Прием текстовых кадров A-MSDU, которые начинаются с заголовка RFC1042 с EtherType EAPOL (в зашифрованной сети)
CVE-2020-26140: Прием фреймов открытых текстовых данных в защищенной сети
CVE-2020-26143: Прием фрагментированных фреймов открытых текстовых данных в защищенной сети
Другие недостатки реализации:
CVE-2020-26139: Пересылка кадров EAPOL, даже если отправитель еще не аутентифицирован (должно влиять только на APs)
CVE-2020-26146: Повторная сборка зашифрованных фрагментов с непоследовательными номерами пакетов
CVE-2020-26147: Повторная сборка смешанных зашифрованных/текстовых фрагментов
CVE-2020-26142: Обработка фрагментированных кадров как полных кадров
CVE-2020-26141: Не проверка микрофона TKIP фрагментированных кадров
Наиболее эффективным способом снижения угрозы, создаваемой фрагатаками, является установка всех доступных обновлений, устраняющих уязвимости. Пользователи должны будут сделать это на каждом уязвимом компьютере, маршрутизаторе или другом устройстве Интернета вещей. Вполне вероятно, что огромное количество затронутых устройств никогда не получат патч.
Следующим лучшим смягчением является обеспечение того, чтобы веб-сайты всегда использовали HTTPS-соединения. Это связано с тем, что шифрование HTTPS значительно снижает ущерб, который может быть нанесен, когда вредоносный DNS-сервер направляет жертву на поддельный веб-сайт.
Сайты, использующие HTTP Strict Transport Security, всегда будут использовать эту защиту, но Ванхоф сказал, что только около 20 процентов Интернета делают это. Браузерные расширения, такие как HTTPS everywhere, уже были хорошей идеей, и смягчение, которое они обеспечивают против фрагатак, делает их еще более стоящими.
Как отмечалось ранее, фрагат-атаки вряд ли будут использоваться против подавляющего большинства пользователей Wi—Fi, поскольку эксплойты требуют высокой степени мастерства, а также близости-то есть от 100 футов до полумили, в зависимости от используемого оборудования—к цели. Уязвимости представляют более высокую угрозу для сетей, используемых высокоценными целями, такими как торговые сети, посольства или корпоративные сети, где безопасность является ключевой, а затем, скорее всего, только в сочетании с другими эксплойтами.
Когда обновления станут доступны, обязательно установите их, но если вы не входите в эту последнюю группу, помните, что загрузка дисков и другие более приземленные типы атак, вероятно, будут представлять большую угрозу.
Комментарий: Ташкинов Артем Сергеевич
Пока вы используете DoT/DoH и HTTPS, вы в безопасности.
Когда я работаю в сети, я всегда предполагаю, что сеть, к которой я подключен, полностью скомпрометирована, поэтому все мои устройства используют эти вещи и должным образом защищены брандмауэрами, и в этом случае эти атаки практически бесполезны.
В то время как только новые версии Android поддерживают точку из коробки на системном уровне, Google недавно добавил поддержку DoH в Chrome, поэтому в случае, если ваше устройство работает под управлением более старой версии Android, вы можете включить DoH в Chrome, чтобы чувствовать себя в безопасности.
А что касается Firefox, то он уже много лет поддерживает DoH. Я зашел так далеко, что установил network.trr.mode на 2 в about:config, чтобы быть более безопасным. 3 еще лучше:
https://wiki.mozilla.org/Trusted_Recursive_Resolver