網(wǎng)絡(luò)安全研究人員近日在IEEE 802.11 wifi協(xié)議標(biāo)準(zhǔn)的設(shè)計中發(fā)現(xiàn)了一個基本的安全漏洞,這個漏洞讓攻擊者可以誘騙接入點泄露明文格式的網(wǎng)絡(luò)幀。
WiFi網(wǎng)絡(luò)幀如同數(shù)據(jù)容器,由報頭、數(shù)據(jù)載荷和報尾組成,含有源和目的地mac地址、控制和管理數(shù)據(jù)之類的信息。
這些幀在隊列中排序,在受控制的材料中傳輸以免碰撞,并通過密切關(guān)注接收端的繁忙/空閑狀態(tài)來最大限度地提升數(shù)據(jù)交換性能。
研究人員發(fā)現(xiàn),隊列/緩沖幀并沒有得到充分的保護,攻擊者可以采取多種手段:操控數(shù)據(jù)傳輸、客戶端欺騙、幀重定向和捕獲。
美國東北大學(xué)的Domien Schepers和Aanjhan Ranganathan以及比利時魯汶大學(xué)imec-Distr.NET的Mathy Vanhoef在昨天發(fā)表了一篇技術(shù)論文《對幀做手腳:通過操控傳輸隊列繞過WiFi加密機制》,他們在論文中寫道:“我們的攻擊有其廣泛的影響,因為它們可以影響各種不同的設(shè)備和操作系統(tǒng)(linux、FreeBSD、IOS和Android/ target=_blank class=infotextkey>安卓),還因為它們可以用來劫持TCP連接或攔截客戶端和互聯(lián)網(wǎng)流量。”
節(jié)電漏洞
IEEE 802.11標(biāo)準(zhǔn)包括節(jié)電機制,允許WiFi設(shè)備通過緩沖或隊列發(fā)給睡眠模式設(shè)備的幀來達到節(jié)電效果。
當(dāng)客戶端站(接收設(shè)備)進入睡眠模式時,它向接入點發(fā)送一個幀,該幀的報頭含有節(jié)電位,因此發(fā)給該接入點的所有幀都進入隊列。
然而,該標(biāo)準(zhǔn)并沒有為管理這些隊列幀的安全性提供明確的指導(dǎo),也沒有設(shè)置限制,比如幀可以在這種狀態(tài)下逗留多長時間。
一旦客戶端站由睡眠模式進入工作模式,接入點將緩存的幀從隊列中取出,采用加密,并將它們傳輸?shù)侥康牡亍?/p>
攻擊者可以欺騙網(wǎng)絡(luò)上設(shè)備的MAC地址,并向接入點發(fā)送節(jié)電幀,從而迫使它們開始將發(fā)送給目標(biāo)的幀列入隊列。然后,攻擊者發(fā)送喚醒幀來檢索幀堆棧。
傳輸?shù)膸ǔJ褂迷赪iFi網(wǎng)絡(luò)中所有設(shè)備之間共享的組地址加密密鑰或成對加密密鑰進行加密,這個加密密鑰對每個設(shè)備而言都具有唯一性,用于加密兩個設(shè)備之間交換的幀。
然而,攻擊者可以通過向接入點發(fā)送驗證幀和關(guān)聯(lián)幀來改變幀的安全上下文,從而迫使接入點以明文形式傳輸幀或使用攻擊者提供的密鑰對其進行加密。
圖1. 攻擊圖(圖片來源:papers.mathyvanhoef.com)
這種攻擊可以使用研究人員創(chuàng)建的名為MacStealer的自定義工具來實現(xiàn),該工具可以測試WiFi網(wǎng)絡(luò)的客戶端隔離旁路,并在MAC層攔截發(fā)給其他客戶端的流量。
研究人員報告,來自Lancom、Aruba、思科、華碩和友訊的網(wǎng)絡(luò)設(shè)備型號已知受到這些攻擊的影響,完整的設(shè)備列表如下。
圖2. 測試后發(fā)現(xiàn)易受攻擊的設(shè)備(圖片來源:papers.mathyvanhoef.com)
研究人員警告,這些攻擊可能被用來將JAVAScript等惡意內(nèi)容注入到TCP數(shù)據(jù)包中。
研究人員警告:“攻擊者可以使用他們自己的與互聯(lián)網(wǎng)連接的服務(wù)器,通過注入帶有受欺騙的發(fā)送者IP地址的路徑外TCP數(shù)據(jù)包,將數(shù)據(jù)注入到這個TCP連接中。”
“比如說,這可能被用來通過明文HTTP連接向受害者發(fā)送惡意JavaScript代碼,目的是利用客戶端瀏覽器中的漏洞。”
雖然這種攻擊也可以用來窺視流量,但由于大多數(shù)互聯(lián)網(wǎng)流量都是使用TLS加密的,因此造成的影響有限。
技術(shù)細(xì)節(jié)和研究內(nèi)容可在USENIX Security 2023論文中獲得(https://papers.mathyvanhoef.com/usenix2023-wifi.pdf),該論文將于2023年5月12日在即將召開的黑帽亞洲大會上發(fā)表。
思科承認(rèn)漏洞
第一家承認(rèn)WiFi協(xié)議漏洞影響的供應(yīng)商是思科,它承認(rèn)論文中概述的攻擊可能會成功攻陷思科無線接入點產(chǎn)品和具有無線功能的思科Meraki產(chǎn)品。
然而思科認(rèn)為,檢索到的幀不太可能危及適當(dāng)安全的網(wǎng)絡(luò)具有的整體安全性。
思科聲稱:“這種攻擊被視為伺機作案的攻擊,攻擊者獲得的信息在安全配置的網(wǎng)絡(luò)中幾乎沒有多少價值。”
不過,該公司還是建議用戶采取緩解措施,比如通過思科身份服務(wù)引擎(ISE)等系統(tǒng)使用策略執(zhí)行機制,該系統(tǒng)可以通過實施思科TrustSec或軟件定義訪問(SDA)技術(shù)來限制網(wǎng)絡(luò)訪問。
思科的安全公告寫道:“思科還建議盡可能實施傳輸層安全,以便對傳輸中的數(shù)據(jù)進行加密,因為這將使攻擊者無法使用獲取的數(shù)據(jù)。”
目前,還沒有有人惡意利用研究人員發(fā)現(xiàn)的漏洞的已知案例。
參考及來源:https://www.bleepingcomputer.com/news/security/wifi-protocol-flaw-allows-attackers-to-hijack-network-traffic/
