U paketima otvorenog koda IWD (Intel inet Wireless Daemon) i wpa_supplicant, koji se koriste za organiziranje klijentskih veza Linux-sistema prema bežičnoj mreži, identifikovane su ranjivosti koje dovode do zaobilaženja mehanizama autentifikacije:
- U IWD-u, ranjivost (CVE-2023-52161) se pojavljuje samo kada je omogućen način pristupne tačke, što nije tipično za IWD, koji se obično koristi za povezivanje na bežične mreže. Ranjivost vam omogućava da se povežete na kreiranu pristupnu tačku bez poznavanja lozinke, na primer, kada korisnik eksplicitno daje mogućnost pristupa mreži preko svog uređaja (Hotspot). Problem je riješen u IWD verziji 2.14.
Ranjivost je uzrokovana nepravilnim provjerom redoslijeda svih koraka tokom pregovaranja o komunikacijskom kanalu u 4 koraka koji se koristi prilikom prvog povezivanja na sigurnu bežičnu mrežu. Zbog činjenice da IWD prihvata poruke za bilo koju fazu pregovora o povezivanju bez provjere da li je prethodna faza završena, napadač može zaobići slanje poruke druge faze i odmah poslati poruku četvrte faze i dobiti pristup mreži , preskačući fazu u kojoj se provjerava autentifikacija.
U ovom slučaju, IWD pokušava provjeriti MIC (kod integriteta poruke) kod za primljenu poruku četvrte faze. Pošto poruka druge faze sa parametrima autentikacije nije primljena, prilikom obrade poruke četvrte faze, PTK (Pairwise Transient Key) ključ se postavlja na nulu. Shodno tome, napadač može izračunati MIC koristeći nulti PTK, a ovaj verifikacioni kod će IWD prihvatiti kao važeći. Nakon završetka ovog djelomičnog pregovaranja o povezivanju, napadač će imati potpuni pristup bežičnoj mreži, budući da će pristupna tačka primiti okvire koje šalje, šifrirane nultim PTK ključem.
- Problem identificiran u wpa_supplicant (CVE-2023-52160) omogućava napadaču da namami korisnika u fiktivnu bežičnu mrežu koja je klon mreže na koju se korisnik namjerava povezati. Ako se korisnik poveže na lažnu mrežu, napadač može organizirati presretanje korisnikovog nekriptiranog tranzitnog prometa (na primjer, pristup stranicama bez HTTPS-a).
Zbog greške u implementaciji PEAP (Protected Extensible Authentication Protocol) protokola, napadač može preskočiti drugu fazu autentifikacije kada poveže pogrešno konfiguriran korisnički uređaj. Zaobilaženje druge faze autentifikacije omogućava napadaču da kreira lažni klon pouzdane Wi-Fi mreže i omogući korisniku da se poveže na lažnu mrežu bez provjere lozinke.
Da bi se napad uspješno izveo, provjera wpa_supplicant mora biti onemogućena na strani korisnika. TLS certifikat Napadač mora znati identifikator bežične mreže (SSID ili Service Set Identifier). Napadač mora biti unutar dometa bežičnog adaptera žrtve, ali izvan dometa pristupne tačke klonirane bežične mreže. Napad je moguć na WPA2-Enterprise ili WPA3-Enterprise mrežama, koje koriste PEAP protokol.
Programeri wpa_supplicant-a su izjavili da problem ne smatraju ranjivošću, budući da se on manifestuje samo u nepravilno konfigurisanim bežičnim mrežama u kojima se EAP autentifikacija koristi zajedno sa PEAP (EAP-TTLS) protokolom bez provjere TLS certifikata. serverKonfiguracije bez provjere certifikata su ranjive na aktivne napade. Oni koji su otkrili ranjivost tvrde da su takve netačne konfiguracije tipične i široko rasprostranjene, stavljajući mnoge potrošačke uređaje zasnovane na Linux, Android i Chrome OS koji koriste wpa_supplicant.
Da bi se blokirao problem u wpa_supplicant, puštena je zakrpa koja dodaje mod za obavezan prolazak druge faze autentifikacije, pored provjere TLS certifikata. Prema riječima programera, predložena promjena je samo zaobilazno rješenje koje komplikuje napade kada se koristi ručna autentikacija i beskorisna je kada se koriste opcije kao što je EAP-GTC. Da bi zaista riješili problem, mrežni administratori bi trebali dovesti svoju konfiguraciju u odgovarajući oblik, tj. konfigurirajte lanac povjerenja za provjeru certifikata poslužitelja koristeći parametar ca_cert.
izvor: opennet.ru
