Мэці Ванхофам (Mathy Vanhoef), аўтар нападу KRACK на бесправадныя сеткі, раскрыў звесткі аб 12 уразлівасцях, якія закранаюць розныя бесправадныя прылады. Выяўленыя праблемы прадстаўлены пад кодавым імем FragAttacks і ахопліваюць практычна ўсе змешчаныя ва ўжытку бесправадныя платы і кропкі доступу – з пратэставаных 75 прылад, кожнае было схільна як мінімум аднаму з прапанаваных метадаў нападу.
Праблемы падзелены на дзве катэгорыі: 3 уразлівасці выяўлены непасрэдна ў стандартах Wi-Fi і ахопліваюць усе прылады, якія падтрымліваюць актуальныя стандарты IEEE 802.11 (праблемы прасочваюцца з 1997 года). 9 уразлівасцяў дакранаюцца памылак і недапрацовак у пэўных рэалізацыях бесправадных стэкаў. Асноўную небяспеку ўяўляе другая катэгорыя, бо арганізацыя нападаў на недапрацоўкі стандартаў патрабуе наяўнасці спецыфічных налад або выкананні ахвярай вызначаных дзеянняў. Усе ўразлівасці выяўляюцца незалежна ад выкарыстання пратаколаў для забеспячэння бяспекі Wi-Fi, у тым ліку пры выкарыстанні WPA3.
Большасць выяўленых метадаў нападаў дазваляюць зламысніку ажыццявіць падстаноўку L2-кадраў у абароненай сетцы, што дае магчымасць уклініцца ў трафік ахвяры. У якасці найболей рэалістычнага сцэнара нападаў згадваецца падмена адказаў DNS для накіравання карыстача на хост атакавалага. Таксама прыводзіцца прыклад выкарыстання ўразлівасцяў для абыходу транслятара адрасоў на бесправадным маршрутызатары і арганізацыі прамога доступу да прылады ў лакальнай сетцы або ігнаравання абмежаванняў міжсеткавага экрана. Другая частка ўразлівасцяў, якая злучана з апрацоўкай фрагментаваных кадраў, дае магчымасць атрымаць дадзеныя аб трафіку ў бесправадной сетцы і перахапіць дадзеныя карыстача, якія перадаюцца без выкарыстання шыфравання.
Даследчыкам падрыхтавана дэманстрацыя, якая паказвае як можна выкарыстоўваць уразлівасці для перахопу пароля, перададзенага пры звароце да сайта па пратаколе HTTP без шыфравання. у лакальнай сетцы, якія маюць невыпраўленыя ўразлівасці (напрыклад, атрымалася праз абыход NAT атакаваць неабноўлены кампутар з Windows 7 ва ўнутранай сетцы).
Для эксплуатацыі ўразлівасцяў нападаючы павінен знаходзіцца ў межах дасяжнасці мэтавай бесправадной прылады, каб адправіць ахвяры адмыслова аформлены набор кадраў. Праблемы закранаюць як кліенцкія прылады і бесправадныя карты, так і кропкі доступу і Wi-Fi маршрутызатары. У агульным выглядзе ў якасці абыходных мер абароны дастаткова выкарыстання HTTPS у спалучэнні з шыфраваннем DNS-трафіка пры дапамозе DNS over TLS ці DNS over HTTPS. Для абароны таксама падыходзіць ужыванне VPN.
Найбольш небяспечнымі называюцца чатыры ўразлівасці ў рэалізацыях бесправадных прылад, якія дазваляюць трывіяльнымі метадамі дамагчыся падстаноўкі сваіх незашыфрваных кадраў:
- Уразлівасці CVE-2020-26140 і CVE-2020-26143 дапушчаюць падстаноўку кадраў на некаторых кропках доступу і бесправадных картах у Linux, Windows і FreeBSD.
- Уразлівасць VE-2020-26145 дапушчае апрацоўку шырокавяшчальных незашыфрваных фрагментаў як паўнавартасных кадраў у macOS, iOS і FreeBSD і NetBSD.
- Уразлівасць CVE-2020-26144 дапускае апрацоўку незашыфраваных перасабраных кадраў A-MSDU з EtherType EAPOL у Huawei Y6, Nexus 5X, FreeBSD і LANCOM AP.
Іншыя ўразлівасці ў рэалізацыях у асноўным звязаныя з праблемамі, якія ўзнікаюць пры апрацоўцы фрагментаваных кадраў:
- CVE-2020-26139: дапускае перанакіраванне кадраў са сцягам EAPOL, адпраўленых неаўтэнтыфікаваным адпраўніком (закранае 2/4 правераных кропак доступу, а таксама рашэнні на базе NetBSD і FreeBSD).
- CVE-2020-26146: дапускае перазборку (reassembling) зашыфраваных фрагментаў без праверкі парадку нумароў паслядоўнасці.
- CVE-2020-26147: дапускае перазборку змешаных шыфраваных і нешыфраваных фрагментаў.
- CVE-2020-26142: дазваляе апрацоўваць фргментаваныя кадры як поўныя кадры (закранае OpenBSD і бесправадны модуль ESP12-F).
- CVE-2020-26141: адсутнічае праверка TKIP MIC для фрагментаваных кадраў.
Праблемы ў спецыфікацыях:
- CVE-2020-24588 – атака на агрэгаваныя кадры (сцяг "is aggregated" не абаронены і можа быць заменены атакавалым у кадрах A-MSDU у WPA, WPA2, WPA3 і WEP). У якасці прыкладу ўжывання нападу згадваецца перанакіраванне карыстача на шкоднасны DNS-сервер ці абыход NAT.
- CVE-2020-245870 – атака на змешванне ключоў (дапускаецца перазборка фрагметаў, зашыфраваных з выкарыстаннем розных ключоў у WPA, WPA2, WPA3 і WEP). Атака дазваляе вызначыць дадзеныя, адпраўленыя кліентам, напрыклад, вызначыць змесціва кукі пры звароце па HTTP.
- CVE-2020-24586 – атака на кэш фрагментаў (стандарты, якія ахопліваюць WPA, WPA2, WPA3 і WEP, не патрабуюць выдаленне ўжо аселых у кэшы фрагментаў пасля новага падлучэння да сеткі). Дазваляе вызначыць дадзеныя, адпраўленыя кліентам, і ажыццявіць падстаноўку сваіх дадзеных.
Для тэставання ступені схільнасці праблемам сваіх прылад падрыхтаваны спецыяльны інструментарый і гатовы Live-выява для стварэння загрузнага USB-назапашвальніка. У Linux праблемы выяўляюцца ў бесправадным сетцы mac80211, у асобных бесправадных драйверах і ў прашыўках, загружаных на бесправадныя платы. Для ўхілення ўразлівасцяў прапанаваны набор патчаў, які ахоплівае стэк mac80211 і драйверы ath10k/ath11k. Для некаторых прылад, такіх як бесправадныя карты Intel, дадаткова патрабуецца ўстаноўка абнаўлення прашыўкі.
Тэсты тыпавых прылад:
Тэсты бесправадных карт у Linux і Windows:
Тэсты бесправадных карт ва FreeBSD і NetBSD:
Вытворцы былі апавешчаныя аб праблемах яшчэ 9 месяцаў таму. Гэтак працяглы перыяд эмбарга тлумачыцца скаардынаванай падрыхтоўкай абнаўленняў і затрымкамі пры падрыхтоўцы змен спецыфікацый арганізацыямі ICASI і Wi-Fi Alliance. Першапачаткова планавалася раскрыць звесткі 9 сакавіка, але, супаставіўшы рызыкі, было вырашана адкласці публікацыю яшчэ на два месяцы для таго, каб даць больш часу на падрыхтоўку патчаў з улікам нетрывіяльнасці змяненняў і цяжкасцяў, якія ўносяцца з-за пандэміі COVID-19.
Характэрна, што нягледзячы на эмбарга кампанія Microsoft у сакавіцкім абнаўленні Windows датэрмінова ўхіліла некаторыя ўразлівасці. Расчыненне інфармацыі было адкладзенае за тыдзень да першапачаткова вызначанага тэрміна і кампанія Microsoft не паспела ці не захацела ўносіць змены ў гатовае для публікацыі планавае абнаўленне, чым стварыла пагрозу для карыстачоў іншых сістэм, бо зламыснікі маглі атрымаць інфармацыю аб уразлівасцях праз правядзенне зваротнага інжынірынгу змесціва абнаўленняў.
Крыніца: opennet.ru