FragAttacks - Wi-Fi 표준 및 구현의 일련의 취약점

무선 네트워크에 대한 KRACK 공격의 작성자인 Mathy Vanhoef는 다양한 무선 장치에 영향을 미치는 12가지 취약점에 대한 정보를 공개했습니다. 확인된 문제는 FragAttacks라는 코드명으로 표시되며 사용 중인 거의 모든 무선 카드와 액세스 포인트에 적용됩니다. 테스트된 75개 장치 중 각 장치는 제안된 공격 방법 중 적어도 하나에 취약했습니다.

문제는 두 가지 범주로 나누어집니다. 3개의 취약점은 Wi-Fi 표준에서 직접 식별되었으며 현재 IEEE 802.11 표준을 지원하는 모든 장치에 적용됩니다(문제는 1997년부터 추적되었습니다). 9개의 취약점은 특정 무선 스택 구현의 오류 및 결함과 관련이 있습니다. 표준의 결함에 대한 공격을 조직하려면 특정 설정이 있거나 피해자가 특정 작업을 수행해야 하기 때문에 주요 위험은 두 번째 범주로 표시됩니다. 모든 취약점은 WPA3 사용을 포함하여 Wi-Fi 보안을 보장하는 데 사용되는 프로토콜과 관계없이 발생합니다.

확인된 공격 방법의 대부분은 공격자가 보호되는 네트워크에서 L2 프레임을 대체할 수 있도록 허용하며, 이를 통해 피해자의 트래픽에 끼어들 수 있습니다. 가장 현실적인 공격 시나리오는 DNS 응답을 스푸핑하여 사용자를 공격자의 호스트로 연결하는 것입니다. 또한 취약점을 사용하여 무선 라우터의 주소 변환기를 우회하고 로컬 네트워크의 장치에 대한 직접 액세스를 구성하거나 방화벽 제한을 무시하는 예도 제공됩니다. 조각화된 프레임 처리와 관련된 취약점의 두 번째 부분은 무선 네트워크의 트래픽에 대한 데이터를 추출하고 암호화 없이 전송된 사용자 데이터를 가로챌 수 있게 합니다.

연구원은 암호화 없이 HTTP를 통해 사이트에 접속할 때 취약점을 이용하여 전송되는 비밀번호를 가로채는 방법과 Wi-Fi를 통해 제어되는 스마트 소켓을 공격하고 이를 발판으로 활용하여 공격을 지속하는 방법을 보여주는 시연을 준비했습니다. 수정되지 않은 취약점이 있는 로컬 네트워크의 업데이트되지 않은 장치(예: NAT 통과를 통해 내부 네트워크의 Windows 7이 설치된 업데이트되지 않은 컴퓨터를 공격하는 것이 가능함).

이 취약점을 악용하려면 공격자가 대상 무선 장치 범위 내에 있어야 특수하게 제작된 프레임 세트를 피해자에게 보낼 수 있습니다. 문제는 클라이언트 장치와 무선 카드는 물론 액세스 포인트와 Wi-Fi 라우터에도 영향을 미칩니다. 일반적으로 TLS를 통한 DNS 또는 HTTPS를 통한 DNS를 사용하여 DNS 트래픽을 암호화하는 것과 함께 HTTPS를 사용하면 해결 방법으로 충분합니다. VPN을 사용하는 것도 보호에 적합합니다.

가장 위험한 것은 무선 장치 구현 시 발생하는 네 가지 취약점으로, 이를 통해 간단한 방법으로 암호화되지 않은 프레임을 대체할 수 있습니다.

• 취약점 CVE-2020-26140 및 CVE-2020-26143은 Linux, Windows 및 FreeBSD의 일부 액세스 포인트 및 무선 카드에서 프레임 스터핑을 허용합니다.
• 취약점 VE-2020-26145로 인해 암호화되지 않은 브로드캐스트 조각이 macOS, iOS, FreeBSD 및 NetBSD에서 전체 프레임으로 처리될 수 있습니다.
• 취약점 CVE-2020-26144로 인해 Huawei Y6, Nexus 5X, FreeBSD 및 LANCOM AP에서 EtherType EAPOL을 사용하여 암호화되지 않고 재조립된 A-MSDU 프레임을 처리할 수 있습니다.

구현의 다른 취약점은 주로 조각난 프레임을 처리할 때 발생하는 문제와 관련이 있습니다.

• CVE-2020-26139: 인증되지 않은 발신자가 보낸 EAPOL 플래그를 사용하여 프레임 리디렉션을 허용합니다(신뢰할 수 있는 액세스 포인트 2/4와 NetBSD 및 FreeBSD 기반 솔루션에 영향을 미침).
• CVE-2020-26146: 시퀀스 번호 순서를 확인하지 않고 암호화된 조각을 재조립할 수 있습니다.
• CVE-2020-26147: 암호화된 조각과 암호화되지 않은 조각이 혼합된 조각을 재조립할 수 있습니다.
• CVE-2020-26142: 조각난 프레임을 전체 프레임으로 처리할 수 있습니다(OpenBSD 및 ESP12-F 무선 모듈에 영향을 미침).
• CVE-2020-26141: 조각난 프레임에 대한 TKIP MIC 검사가 누락되었습니다.

사양 문제:

• CVE-2020-24588 - 집계된 프레임에 대한 공격("집계됨" 플래그는 보호되지 않으며 WPA, WPA2, WPA3 및 WEP의 A-MSDU 프레임에서 공격자가 대체할 수 있음) 사용되는 공격의 예로는 사용자를 악의적인 DNS 서버로 리디렉션하거나 NAT 통과를 들 수 있습니다.
• CVE-2020-245870은 키 혼합 공격입니다(WPA, WPA2, WPA3 및 WEP에서 서로 다른 키를 사용하여 암호화된 조각을 재조립할 수 있음). 공격을 통해 클라이언트가 보낸 데이터를 확인할 수 있습니다. 예를 들어 HTTP를 통해 액세스할 때 쿠키의 내용을 확인할 수 있습니다.
• CVE-2020-24586은 조각 캐시에 대한 공격입니다(WPA, WPA2, WPA3 및 WEP를 다루는 표준에서는 네트워크에 새로 연결한 후 캐시에 이미 저장된 조각을 제거할 것을 요구하지 않습니다). 클라이언트가 보낸 데이터를 확인하고 데이터를 대체할 수 있습니다.

문제에 대한 장치의 민감도를 테스트하기 위해 부팅 가능한 USB 드라이브를 생성하기 위한 특수 도구 키트와 기성 라이브 이미지가 준비되었습니다. Linux에서는 mac80211 무선 메시, 개별 무선 드라이버 및 무선 카드에 로드된 펌웨어에 문제가 나타납니다. 취약점을 제거하기 위해 mac80211 스택 및 ath10k/ath11k 드라이버를 포함하는 패치 세트가 제안되었습니다. Intel 무선 카드와 같은 일부 장치에는 추가 펌웨어 업데이트가 필요합니다.

일반적인 장치 테스트:

Linux 및 Windows에서 무선 카드 테스트:

FreeBSD 및 NetBSD의 무선 카드 테스트:

제조업체는 9개월 전에 문제를 통보받았습니다. 이러한 긴 금수 조치 기간은 ICASI 및 Wi-Fi Alliance 조직의 사양 변경 준비 지연 및 업데이트 준비 조정으로 설명됩니다. 당초 9월 19일에 정보를 공개할 예정이었으나, 위험성을 비교한 결과, 패치 준비에 더 많은 시간을 주기 위해 변경 사항의 사소한 성격을 고려하여 공개를 XNUMX개월 더 연기하기로 결정했습니다. 코로나XNUMX 사태로 인해 발생하는 어려움과 어려움.

금수 조치에도 불구하고 Microsoft가 XNUMX월 Windows 업데이트에서 일부 취약점을 예정보다 일찍 수정했다는 점은 주목할 만합니다. 정보 공개는 원래 예정된 날짜보다 일주일 전에 연기되었으며 Microsoft는 시간이 없거나 게시 준비가 된 계획된 업데이트를 변경하고 싶지 않았습니다. 이는 공격자가 다음에 대한 정보를 얻을 수 있기 때문에 다른 시스템 사용자에게 위협이 되었습니다. 업데이트 내용의 리버스 엔지니어링을 통해 취약점을 제거합니다.

출처 : opennet.ru