來自中國清華大學和美國喬治梅森大學的研究人員團隊披露了無線存取點中存在的漏洞 (CVE-2022-25667),該漏洞允許對受 WPA、WPA2 和 WPA3 保護的無線網路發動中間人 (MITM) 攻擊。攻擊者可以透過操縱具有「重定向」標誌的 ICMP 封包,將受害者的無線網路流量重定向到其係統,從而攔截和替換未加密的會話(例如,對非 HTTPS 網站的請求)。
此漏洞是由於網路處理器(NPU,網路處理單元)未能正確過濾偽造的 ICMP 訊息(這些訊息使用了替換的寄件者位址,即欺騙性訊息),而網路處理器則負責在無線網路中提供低階封包處理。此外,NPU 會重新導向具有「重定向」標誌的偽造 ICMP 封包,而無需檢查是否有欺騙性訊息,可用於變更受害用戶端的路由表參數。該攻擊的本質是代表存取點發送 ICMP 封包,並在封包頭中帶有「重定向」標誌,指示偽造資料。由於該漏洞,該訊息會被存取點重定向,並由受害者的網路堆疊進行處理,受害者的網路堆疊會誤以為該訊息是由存取點發送的。
此外,研究人員還提出了一種繞過終端用戶端帶有「重定向」標誌的 ICMP 封包檢查並更改其路由表的方法。為了繞過過濾,攻擊者首先確定受害者端的活動 UDP 連接埠。在同一個無線網路中,攻擊者可以攔截流量,但無法解密,因為他不知道受害者連接存取點時使用的會話金鑰。然而,透過向受害者發送測試資料包,攻擊者可以根據對帶有「目標不可達」標誌的傳入 ICMP 回應的分析來確定活動的 UDP 連接埠。接下來,攻擊者會建構一個帶有「重定向」標誌和偽造 UDP 標頭的 ICMP 訊息,該標頭指定了已識別的開放 UDP 連接埠。處理此訊息會導致受害者係統中的路由表被篡改,流量被重定向,從而有可能在資料鏈路層的開放位置攔截流量。
該問題已在使用海思和高通晶片的接入點中得到確認。一項針對55家知名製造商(思科、NetGear、小米、Mercury、10、華為、TP-Link、H360C、騰達、銳捷)的3款不同型號接入點的研究表明,它們均存在漏洞,且無法攔截虛假ICMP數據包。此外,對122個現有無線網路的分析顯示,109個網路(89%)有遭受攻擊的可能性。
要利用這些漏洞,攻擊者必須能夠合法連接到 Wi-Fi 網絡,即必須知道進入無線網路的參數(這些漏洞允許繞過 WPA* 協定中用於在網路中分離用戶流量的機制)。與使用 ICMP 封包欺騙技術的傳統無線網路 MITM 攻擊不同,攻擊者無需部署自己的虛擬存取點來攔截流量,而是使用為網路提供服務的合法存取點將特製的 ICMP 封包重定向到受害者。
來源: opennet.ru
