Исследователи Domien Schepers, Aanjhan Ranganathan и Mathy Van | SecAtor

Исследователи Domien Schepers, Aanjhan Ranganathan и Mathy Vanhoef раскрыли фундаментальную уязвимость в структуре стандарта протокола IEEE 802.11 Wi-Fi, позволяющий злоумышленникам перехватывать сетевой трафик.

Технические детали исследования будут подробно на предстоящей конференции BlackHat Asia, которая состоится в период 9-12 мая 2023 года.

Уязвимость затрагивает широкий спектр устройств и ОС Linux, FreeBSD, iOS и Android, ее можно использовать для захвата TCP-соединений или перехвата клиентского и веб-трафика.

Кадры WiFi представляют собой контейнеры данных, состоящие из заголовка, полезной нагрузки данных и трейлера, которые включают такую информацию, как MAC-адрес источника и получателя, а также данные управления.

Они упорядочиваются в очереди и передаются контролируемым образом.

Обнаруженная исследователями проблема связана как раз с недостаточной защищенностью помещенных в очередь кадров.

Стандарт IEEE 802.11 включает механизмы энергосбережения, которые позволяют WiFi-устройствам экономить электроэнергию за счет буферизации или постановки в очередь кадров, предназначенных для спящих устройств.

При перехожу клиентской станции (принимающего устройства) в спящий режим, на точку доступа отправляется кадр с заголовком, содержащим бит энергосбережения, а все кадры, предназначенные для нее, ставятся в очередь.

При этом стандарт не подразумевает явных процедур по управлению безопасностью кадров в очереди и не включает ограничений, например, указаний как долго кадры могут оставаться в этом состоянии.

Как только клиентская станция просыпается, точка доступа извлекает буферизованные кадры из очереди, применяет шифрование и передает их адресату.

Злоумышленник может подделать MAC-адрес устройства в сети и отправить энергосберегающие кадры на точки доступа, заставив их поставить в очередь кадры, предназначенные для цели. Затем злоумышленник передает кадр пробуждения, чтобы получить стек кадров.

Передаваемые кадры обычно шифруются с помощью ключа шифрования с групповым адресом, общего для всех устройств в сети Wi-Fi, или парного ключа шифрования, который уникален для каждого устройства и используется для шифрования кадров, которыми обмениваются два устройства.

Однако злоумышленник может изменить контекст безопасности кадров, отправив на точку доступа кадры аутентификации и ассоциации, тем самым заставив ее передавать кадры в виде открытого текста или шифровать их с помощью предоставленного злоумышленником ключа.

Эта атака возможна с помощью специальных инструментов (MacStealer), которые могут тестировать сети Wi-Fi на предмет обхода изоляции клиентов и перехватывать трафик на уровне MAC.

Исследователи сообщают, что этим атакам подвержены модели сетевых устройств Lancom, Aruba, Cisco, Asus и D-Link, а атаки могут использоваться для внедрения вредоносного контента, такого JavaScript, фундаментальв TCP-пакеты.

Хотя эту атаку также можно использовать и для отслеживания трафика, ее влияние будет ограниченным, поскольку большая часть веб-трафика шифруется с помощью TLS.

Первым из поставщиков влияние уязвимости признала Cisco, которая потвердила, что описанные атаки могут быть успешными в отношении продуктов Cisco Wireless Access Point и Cisco Meraki с беспроводными возможностями, однако полученные кадры вряд ли поставят под угрозу общую безопасность должным образом защищенной сети.

Тем не менее, компания рекомендует применять меры по смягчению последствий, включая использование механизмов обеспечения соблюдения политик с помощью Cisco Identity Services Engine (ISE), которая может ограничивать доступ к сети за счет внедрения технологий Cisco TrustSec или Software Defined Access (SDA).

В настоящее время случаи злонамеренного использования обнаруженной исследователями уязвимости не выявлены.