Skupina výskumníkov z Tsinghua University (Čína) a George Mason University (USA) zverejnila informácie o zraniteľnosti (CVE-2022-25667) v bezdrôtových prístupových bodoch, ktorá umožňuje organizovať odpočúvanie prevádzky (MITM) v bezdrôtových sieťach chránených pomocou WPA, WPA2 a Protokoly WPA3. Manipuláciou s ICMP paketmi s príznakom „redirect“ môže útočník dosiahnuť presmerovanie prevádzky obete v rámci bezdrôtovej siete prostredníctvom svojho systému, čo môže byť použité na zachytávanie a spoof nešifrovaných relácií (napríklad požiadaviek na stránky bez HTTPS).
Zraniteľnosť je spôsobená nedostatočným správnym filtrovaním falošných správ ICMP so sfalšovanou adresou odosielateľa (spoofing) v sieťových procesoroch (NPU, Network Processing Unit), ktoré poskytujú nízkoúrovňové spracovanie paketov v bezdrôtovej sieti. NPU okrem iného presmerovali, bez kontroly spoofingu, falošné ICMP pakety s príznakom „redirect“, ktorý možno použiť na zmenu parametrov smerovacej tabuľky na strane obete. Útok spočíva v odoslaní paketu ICMP v mene prístupového bodu s príznakom „presmerovanie“, ktorý označuje fiktívne údaje v hlavičke paketu. Kvôli zraniteľnosti je správa preposlaná prístupovým bodom a spracovaná sieťovým zásobníkom obete, ktorý predpokladá, že správu odoslal prístupový bod.

Okrem toho výskumníci navrhli metódu na obídenie kontrol ICMP paketov s príznakom „presmerovanie“ na strane koncového používateľa a zmenu jeho smerovacej tabuľky. Aby sa obišlo filtrovanie, útočník najprv určí aktívny UDP port na strane obete. Útočník, ktorý je v rovnakej bezdrôtovej sieti, môže zachytiť prenos, ale nemôže ho dešifrovať, pretože nepozná kľúč relácie, ktorý sa používa, keď obeť pristupuje k prístupovému bodu. Odoslaním testovacích paketov obeti však útočník môže určiť aktívny port UDP na základe analýzy prichádzajúcich odpovedí ICMP s príznakom „Destination Unreachable“. Potom útočník vygeneruje správu ICMP s príznakom „presmerovanie“ a sfalšovanou hlavičkou UDP, ktorá špecifikuje identifikovaný otvorený port UDP. Spracovanie tejto správy vedie k skresleniu smerovacej tabuľky v systéme obete a presmerovaniu prevádzky s možnosťou jej zachytenia v prehľadnej forme na vrstve dátového spojenia.

Problém bol potvrdený v prístupových bodoch pomocou čipov HiSilicon a Qualcomm. Štúdia 55 rôznych modelov prístupových bodov od 10 známych výrobcov (Cisco, NetGear, Xiaomi, Mercury, 360, Huawei, TP-Link, H3C, Tenda, Ruijie) ukázala, že všetky sú zraniteľné a neblokujú falošné ICMP pakety. Okrem toho analýza 122 existujúcich bezdrôtových sietí odhalila možnosť útoku v 109 sieťach (89 %).

Na zneužitie zraniteľností musí mať útočník možnosť legitímne sa pripojiť k sieti Wi-Fi, t.j. musí poznať parametre pre vstup do bezdrôtovej siete (zraniteľnosti umožňujú obísť mechanizmy používané v protokoloch WPA* na oddelenie užívateľskej prevádzky v rámci siete). Na rozdiel od tradičných MITM útokov na bezdrôtové siete, s použitím techniky ICMP paketového spoofingu, sa útočník môže zaobísť bez nasadenia vlastného fiktívneho prístupového bodu na zachytenie prevádzky a použitie legitímnych prístupových bodov obsluhujúcich sieť na presmerovanie špeciálne vytvorených ICMP paketov k obeti.
Zdroj: opennet.ru
