Eine Gruppe von Forschern der Tsinghua-Universität (China) und der George Mason University (USA) hat eine Schwachstelle (CVE-2022-25667) in drahtlosen Zugangspunkten aufgedeckt, die es ermöglicht, den Datenverkehr in drahtlosen Netzwerken, die durch WPA, WPA2 und WPA3 geschützt sind, abzufangen (MITM). Durch die Manipulation von ICMP-Paketen mit dem Flag „redirect“ kann ein Angreifer den Datenverkehr des Opfers innerhalb des drahtlosen Netzwerks über sein eigenes System umleiten, was dazu verwendet werden kann, unverschlüsselte Sitzungen abzufangen und zu manipulieren (z. B. Anfragen an Websites ohne HTTPS).
Die Schwachstelle entsteht aufgrund einer unzureichenden Filterung von gefälschten ICMP-Nachrichten mit einer manipulierten Absenderadresse (Spoofing) in den Netzprozessoreinheiten (NPU, Network Processing Unit), die für die Low-Level-Paketverarbeitung in drahtlosen Netzwerken verantwortlich sind. Unter anderem leiteten die NPUs gefälschte ICMP-Pakete mit dem Flag "redirect" ohne Spoofing-Prüfung um, die verwendet werden können, um Routingtabelleneinstellungen auf der Seite des betroffenen Benutzers zu ändern. Der Angriff besteht darin, ein ICMP-Paket im Namen des Access Points mit dem Flag "redirect" zu senden und gefälschte Daten im Paket-Header anzugeben. Aufgrund dieser Schwachstelle wird die Nachricht durch den Access Point umgeleitet und vom Netzwerk-Stack des Opfers verarbeitet, der davon ausgeht, dass die Nachricht vom Access Point gesendet wurde.

Zusätzlich wurde von Forschern eine Methode vorgeschlagen, um ICMP-Paketprüfungen mit dem Flag "redirect" auf der Seite des Endbenutzers zu umgehen und dessen Routingtabelle zu verändern. Um die Filterung zu umgehen, bestimmt der Angreifer zunächst einen aktiven UDP-Port auf der Seite des Opfers. Befindet sich der Angreifer im selben drahtlosen Netzwerk, kann er den Verkehr abfangen, jedoch nicht entschlüsseln, da er den Sitzungsschlüssel nicht kennt, der beim Zugriff des Opfers auf den Zugangspunkt verwendet wird. Dennoch kann der Angreifer, indem er dem Opfer Prüfpakete sendet, auf der Grundlage der Analyse eingehender ICMP-Antworten mit dem Flag "Destination Unreachable" einen aktiven UDP-Port ermitteln. Anschließend erstellt der Angreifer eine ICMP-Nachricht mit dem Flag "redirect" und einem gefälschten UDP-Header, in dem der identifizierte offene UDP-Port angegeben ist. Die Verarbeitung dieser Nachricht führt zu einer Verzerrung der Routingtabelle im System des Opfers und zur Umleitung des Datenverkehrs, der in unverschlüsselter Form auf der Sicherungsebene abgefangen werden kann.

Das Problem wurde bei Access Points bestätigt, die Chips von HiSilicon und Qualcomm verwenden. Eine Untersuchung von 55 verschiedenen Modellen von Access Points von 10 bekannten Herstellern (Cisco, NetGear, Xiaomi, Mercury, 360, Huawei, TP-Link, H3C, Tenda, Ruijie) hat gezeigt, dass alle anfällig für diese Schwachstellen sind und gefälschte ICMP-Pakete nicht blockieren. Darüber hinaus wurde bei der Analyse von 122 bestehenden WLAN-Netzen festgestellt, dass in 109 Netzen (89 %) ein Angriff möglich ist.

Um diese Schwachstellen auszunutzen, muss der Angreifer die Möglichkeit haben, sich legitim mit dem WLAN-Netzwerk zu verbinden, d.h. er muss die Zugangsdaten für das drahtlose Netzwerk kennen (die Schwachstellen ermöglichen es, die in den WPA*-Protokollen implementierten Mechanismen zur Trennung des Nutzerverkehrs innerhalb des Netzwerks zu umgehen). Im Gegensatz zu herkömmlichen MITM-Angriffen auf drahtlose Netzwerke kann der Angreifer durch Spoofing von ICMP-Paketen auf die Bereitstellung seines eigenen gefälschten Access Points verzichten, um den Verkehr abzufangen, und stattdessen die legitimen Access Points des Netzwerks nutzen, um speziell gestaltete ICMP-Pakete an das Opfer weiterzuleiten.
Quelle: opennet.ru
