🥇FragAttacks - סדרה של פגיעויות בתקני Wi-Fi והטמעות

Mathy Vanhoef, מחבר מתקפת KRACK על רשתות אלחוטיות, חשף מידע על 12 נקודות תורפה המשפיעות על מכשירים אלחוטיים שונים. הבעיות שזוהו מוצגות תחת שם הקוד FragAttacks ומכסות כמעט את כל הכרטיסים האלחוטיים ונקודות הגישה בשימוש - מתוך 75 המכשירים שנבדקו, כל אחד מהם היה רגיש לפחות לאחת משיטות ההתקפה המוצעות.

הבעיות מתחלקות לשתי קטגוריות: 3 נקודות תורפה זוהו ישירות בתקני ה-Wi-Fi ומכסות את כל המכשירים התומכים בתקני IEEE 802.11 הנוכחיים (הבעיות נמצאות במעקב מאז 1997). 9 פגיעויות קשורות לשגיאות ולפגמים ביישומים ספציפיים של ערימות אלחוטיות. הסכנה העיקרית מיוצגת על ידי הקטגוריה השנייה, שכן ארגון התקפות על ליקויים בתקנים דורש נוכחות של הגדרות ספציפיות או ביצוע פעולות מסוימות על ידי הקורבן. כל הפגיעויות מתרחשות ללא קשר לפרוטוקולים המשמשים להבטחת אבטחת Wi-Fi, כולל בעת שימוש ב-WPA3.

רוב שיטות ההתקפה שזוהו מאפשרות לתוקף להחליף פריימים L2 ברשת מוגנת, מה שמאפשר להשתלב בתעבורה של הקורבן. תרחיש ההתקפה הריאלי ביותר הוא זיוף תגובות DNS כדי להפנות את המשתמש אל המארח של התוקף. ניתנת גם דוגמה לשימוש בנקודות תורפה כדי לעקוף את מתרגם הכתובות בנתב אלחוטי ולארגן גישה ישירה למכשיר ברשת מקומית או להתעלם ממגבלות חומת אש. החלק השני של הפגיעות, הקשור לעיבוד של פריימים מקוטעים, מאפשר לחלץ נתונים על תעבורה ברשת אלחוטית וליירט נתוני משתמשים המועברים ללא הצפנה.

החוקר הכין הדגמה שמראה כיצד ניתן להשתמש בפרצות כדי ליירט סיסמה המועברת בעת גישה לאתר דרך HTTP ללא הצפנה. כמו כן, הוא מראה כיצד לתקוף שקע חכם הנשלט באמצעות Wi-Fi ולהשתמש בו כקרש קפיצה להמשך המתקפה במכשירים לא מעודכנים ברשת מקומית שיש להם פגיעויות לא מתוקנות (לדוגמה, ניתן היה לתקוף מחשב לא מעודכן עם Windows 7 ברשת הפנימית באמצעות חציית NAT).

כדי לנצל את הפגיעויות, התוקף חייב להיות בטווח של ההתקן האלחוטי היעד כדי לשלוח קבוצה בעלת מבנה מיוחד של מסגרות לקורבן. הבעיות משפיעות הן על התקני לקוח והן על כרטיסים אלחוטיים, כמו גם על נקודות גישה ונתבי Wi-Fi. באופן כללי, שימוש ב-HTTPS בשילוב עם הצפנת תעבורת DNS באמצעות DNS על TLS או DNS על HTTPS מספיק כפתרון לעקיפת הבעיה. שימוש ב-VPN מתאים גם להגנה.

המסוכנות ביותר הן ארבע נקודות תורפה ביישום של מכשירים אלחוטיים, המאפשרות שיטות טריוויאליות להשיג החלפת המסגרות הלא מוצפנות שלהם:

פגיעויות CVE-2020-26140 ו-CVE-2020-26143 מאפשרות מילוי מסגרת בחלק מנקודות גישה וכרטיסים אלחוטיים ב-Linux, Windows ו-FreeBSD.
פגיעות VE-2020-26145 מאפשרת לעבד שידורים לא מוצפנים כפריימים מלאים ב-macOS, iOS ו- FreeBSD ו-NetBSD.
פגיעות CVE-2020-26144 מאפשרת עיבוד של מסגרות A-MSDU שהורכבו מחדש לא מוצפנות עם EtherType EAPOL ב-Huawei Y6, Nexus 5X, FreeBSD ו-LANCOM AP.

פגיעויות אחרות ביישומים קשורות בעיקר לבעיות שנתקלות בהן בעת עיבוד מסגרות מקוטעות:

CVE-2020-26139: מאפשר ניתוב מחדש של מסגרות עם דגל EAPOL שנשלח על ידי שולח לא מאומת (משפיע על 2/4 נקודות גישה מהימנות, כמו גם על פתרונות מבוססי NetBSD ו-FreeBSD).
CVE-2020-26146: מאפשר הרכבה מחדש של קטעים מוצפנים מבלי לבדוק את סדר מספרי הרצף.
CVE-2020-26147: מאפשר הרכבה מחדש של פרגמנטים מוצפנים ובלתי מוצפנים מעורבים.
CVE-2020-26142: מאפשר להתייחס לפריימים מקוטעים כאל פריימים מלאים (משפיע על OpenBSD ועל המודול האלחוטי ESP12-F).
CVE-2020-26141: בדיקת TKIP MIC חסרה עבור מסגרות מקוטעות.

בעיות מפרט:

CVE-2020-24588 - התקפה על מסגרות מצטברות (הדגל "מצטבר" אינו מוגן וניתן להחליפו על ידי תוקף במסגרות A-MSDU ב-WPA, WPA2, WPA3 ו-WEP). דוגמה להתקפה שבה נעשה שימוש היא הפניית משתמש לשרת DNS זדוני או למעבר NAT.
CVE-2020-245870 היא התקפת ערבוב מפתחות (המאפשרת להרכיב מחדש את הפרגמנטים המוצפנים באמצעות מפתחות שונים ב-WPA, WPA2, WPA3 ו-WEP). ההתקפה מאפשרת לך לקבוע את הנתונים שנשלחו על ידי הלקוח, למשל, לקבוע את תוכן ה-Cookie בעת גישה באמצעות HTTP.
CVE-2020-24586 היא התקפה על מטמון הפרגמנטים (תקנים המכסים WPA, WPA2, WPA3 ו-WEP אינם דורשים הסרה של קטעים שכבר הוכנסו למטמון לאחר חיבור חדש לרשת). מאפשר לך לקבוע את הנתונים שנשלחו על ידי הלקוח ולהחליף את הנתונים שלך.

כדי לבדוק את מידת הרגישות של המכשירים שלך לבעיות, הוכנו ערכת כלים מיוחדת ותמונה חיה מוכנה ליצירת כונן USB הניתן לאתחול. ב-Linux, בעיות מופיעות ברשת האלחוטית של mac80211, מנהלי התקנים אלחוטיים בודדים והקושחה הטעונה בכרטיסי האלחוט. כדי לבטל את הפגיעויות, הוצעה קבוצה של תיקונים המכסה את ערימת ה-mac80211 ואת מנהלי ההתקנים של ath10k/ath11k. התקנים מסוימים, כגון כרטיסים אלחוטיים של אינטל, דורשים עדכון קושחה נוסף.

בדיקות של מכשירים טיפוסיים:

בדיקות של כרטיסים אלחוטיים בלינוקס ו-Windows:

בדיקות של כרטיסים אלחוטיים ב-FreeBSD ו-NetBSD:

היצרנים קיבלו הודעה על הבעיות לפני 9 חודשים. תקופת אמברגו כה ארוכה מוסברת בהכנה מתואמת של עדכונים ועיכובים בהכנת שינויים למפרטים על ידי ארגוני ICASI ו-Wi-Fi Alliance. בתחילה תוכנן לחשוף מידע ב-9 במרץ, אך לאחר השוואת הסיכונים הוחלט לדחות את הפרסום בעוד חודשיים על מנת לתת זמן נוסף להכנת התיקונים, בהתחשב באופי הלא טריוויאלי של השינויים נעשה והקשיים הנובעים עקב מגיפת COVID-19.

ראוי לציין שלמרות האמברגו, מיקרוסופט תיקנה כמה נקודות תורפה לפני המועד בעדכון Windows מרץ. חשיפת המידע נדחתה שבוע לפני המועד המתוכנן המקורי ולמיקרוסופט לא היה זמן או לא רצתה לבצע שינויים בעדכון המתוכנן מוכן לפרסום, מה שיצר איום על משתמשי מערכות אחרות, שכן התוקפים יכלו להשיג מידע על פגיעויות באמצעות הנדסה לאחור של תוכן העדכונים.

מקור: OpenNet.ru

FragAttacks - סדרה של פגיעויות בתקני Wi-Fi והטמעות

הוספת תגובה ביטול תגובה