Група истраживача са Универзитета Тсингхуа (Кина) и Универзитета Георге Масон (САД) открила је информације о рањивости (ЦВЕ-2022-25667) у бежичним приступним тачкама која омогућава пресретање саобраћаја (МИТМ) у бежичним мрежама заштићеним помоћу ВПА, ВПА2 и ВПА3 протоколи. Манипулисањем ИЦМП пакетима са ознаком „преусмеравање“, нападач може да постигне преусмеравање саобраћаја жртве унутар бежичне мреже преко свог система, што се може користити за пресретање и лажирање нешифрованих сесија (на пример, захтеви ка сајтовима без ХТТПС-а).
Рањивост је узрокована недостатком правилног филтрирања фиктивних ИЦМП порука са лажном изворном адресом (споофинг) у мрежним процесорима (НПУ, Нетворк Процессинг Унит), који обезбеђују обраду пакета ниског нивоа у бежичној мрежи. Између осталог, НПУ-ови су преусмерили, без провере да ли постоје лажни, фиктивне ИЦМП пакете са заставицом „редирецт“, која се може користити за промену параметара табеле рутирања на страни корисника жртве. Напад се своди на слање ИЦМП пакета у име приступне тачке са заставицом „преусмеравање“ и навођењем фиктивних података у заглављу пакета. Због рањивости, поруку преусмерава приступна тачка и обрађује мрежни стек жртве, који верује да је поруку послала приступна тачка.
Поред тога, истраживачи су предложили метод за заобилажење провера ИЦМП пакета са заставицом „преусмеравање“ на страни крајњег корисника и промену његове табеле рутирања. Да би заобишао филтрирање, нападач прво одређује активни УДП порт на страни жртве. Будући да је на истој бежичној мрежи, нападач може да пресретне саобраћај, али не може да га дешифрује, пошто не зна који кључ сесије се користи када жртва приступи приступној тачки. Међутим, слањем тестних пакета жртви, нападач може одредити активни УДП порт на основу анализе долазних ИЦМП одговора са ознаком „Дестинатион Унреацхабле“. Затим, нападач генерише ИЦМП поруку са ознаком „преусмеравање“ и лажним УДП заглављем, које указује на идентификовани отворени УДП порт. Обрада ове поруке доводи до изобличења табеле рутирања у систему жртве и преусмеравања саобраћаја са могућношћу пресретања у чистом тексту на слоју везе података.
Проблем је потврђен у приступним тачкама које користе чипове произвођача ХиСилицон и Куалцомм. Студија 55 различитих модела приступних тачака од 10 познатих произвођача (Цисцо, НетГеар, Ксиаоми, Мерцури, 360, Хуавеи, ТП-Линк, Х3Ц, Тенда, Руијие) показала је да су сви они подложни рањивости и да не блокирају лажни ИЦМП пакети. Поред тога, приликом анализе 122 постојеће бежичне мреже, идентификована је могућност напада у 109 мрежа (89%).
Да би искористио рањивости, нападач мора бити у могућности да се легитимно повеже на Ви-Фи мрежу, тј. мора познавати параметре за пријављивање у бежичну мрежу (пропусте омогућавају да се заобиђу механизми који се користе у ВПА* протоколима за одвајање корисничког саобраћаја унутар мреже). За разлику од традиционалних МИТМ напада на бежичне мреже, користећи технику лажирања ИЦМП пакета, нападач може без постављања фиктивне приступне тачке да пресретне саобраћај и користи легитимне приступне тачке које служе мрежи да преусмери специјално дизајниране ИЦМП пакете на жртву.
Извор: опеннет.ру
