FragAttack WiFi-kwetsbaarheid

door | 17 mei, 2021 | Nieuws | 0 Reacties

fragattack

Op 11 mei 2021 is door de Wi-Fi Alliance een kwetsbaarheid gepubliceerd die “FragAttack” wordt genoemd, de WFA-aankondiging is hier te vinden. De kwetsbaarheid betreft een verzameling van 12 Common Vulnerabilities and Exposures (CVE’s) die verschillende aanvalsmethoden omvatten, zoals beschreven in het artikel van Mathy Vanhoef (New York University Abu Dhabi). Enkele aanvallen maken gebruik van zowel ontwerpfouten in het 802.11 (Wi-Fi) -protocol (d.w.z. in het ontwerp van het oorspronkelijke protocol in de standaard) als implementatiefouten (d.w.z. hoe hardware leveranciers ervoor kozen om het protocol te implementeren), terwijl de overige aanvallen enkel van toepassing zijn op implementatiefouten. In deze (respons)documentatie wordt de naam “FragAttacks” gebruikt om te verwijzen naar de volledige reeks kwetsbaarheden.

De meeste aanvallen bestaan ​​uit een proces dat uit meerdere stappen bestaat:

  1. De aanvaller probeert gemanipuleerde 802.11-frames ‘over the air’ naar het beoogde doelwit te injecteren. Dit doel kan een accesspoint of clientapparaat zijn, afhankelijk van de kwetsbaarheid.
  2. Een Man-in-the-Middle (MITM) -aanval kan vervolgens worden gebruikt als de geïmplementeerde infrastructuur een MITM-aanval niet blokkeert of waarschuwt. De aanvaller kan opzettelijke gegevens opnemen in subframes / fragmenten waardoor gegevens uit het netwerk kunnen worden geëxtraheerd of wordt er een kwaadwillende DNS-server gebruikt voor verder misbruik.
  3. Sommige van de genoemde CVE’s vereisen een aspect van Social Engineering, dat wil zeggen dat een gebruiker verleid wordt op een link te klikken die naar een door een aanvaller gecontroleerde URL gaat.
  4. Sommige kwetsbaarheden zijn gericht op slechts één ontvanger (apparaat) op het netwerk en kunnen worden uitgevoerd ongeacht de netwerkconfiguratie.

De kwetsbaarheid van FragAttacks vereist dat kwaadwillenden zich binnen het bereik van uw WiFi-netwerk bevinden én zich in de Man-in-the-Middle-positie bevindt om frames te kunnen manipuleren en injecteren. Dit naast de gelegenheden waarbij ook een social engineering-aspect betrokken is.

Gevolg

Alle apparaten die het Wi-Fi-protocol (802.11) gebruiken, zijn vatbaar voor deze FragAttacks-kwetsbaarheid. Daarom zijn alle Wi-Fi accesspoints en clients in de branche vatbaar voor enkele van de FragAttacks-kwetsbaarheden.

Risicobeperking

Omdat er op dit moment nog geen patches beschikbaar zijn is de aanbevolen aanpak om zowel de Wi-Fi accesspoints als de – clients te patchen op het moment dat daar patches voor beschikbaar zijn. Tot die tijd zijn er beperkt mitigerende maatregelen door te voeren om het risico op misbruik door de FragAttacks-kwetsbaarheid te verkleinen.

Risicobeperking – Netwerk

  1. Schakel indien mogelijk draadloze inbraakpreventiesystemen (WIPS) en draadloze inbraakdetectiesystemen (WIDS) in.
    WIPS en WIDS zijn ontworpen om bepaalde MITM-aanvallen te detecteren en te voorkomen door Wi-Fi-radiokanalen te scannen en malafide toegangspunten te identificeren die zich voordoen als legitieme zakelijke toegangspunten.
  2. Gebruik indien mogelijk EAP-TLS.
    Dit zorgt ervoor dat de client het netwerk verifieert voordat hij zich aanmeldt, wat de moeilijkheid voor een aanvaller vergroot om de client te misleiden over de identiteit van het netwerk waaraan hij deelneemt. Bekijk deze belangrijke technische overwegingen voordat u EAP-TLS in uw netwerk configureert, controleer of de clients die dat netwerk gebruiken EAP-TLS ondersteunen.
  3. Gebruik WPA3 enterprise in uw netwerk.
    Door WPA3-Enterprise in te schakelen, worden automatisch 802.11w-beveiligde beheerframes ingeschakeld, waardoor wordt voorkomen dat rogue-autorisatie- / disassociatie-frames van invloed zijn op de AP-clientverbinding. Dit verlaagt de kans om te worden onderworpen aan een succesvolle MITM-aanval doordat het moeilijker wordt om de verbinding tussen het AP en de client te verbreken. WPA3-Enterprise met behulp van EAP-TLS is vandaag de best mogelijke oplossing, als alle apparaten dit ondersteunen. 802.11w is een optionele instelling met WPA2, maar zorg ervoor dat alle clientapparaten 802.11w ondersteunen voordat u ze inschakelt, zodat ze blijven werken.

 

Risicobeperking – Client

  1. Update persoonlijke computerapparaten (laptops, mobiele telefoons, tablets enz.) en IOT-apparaten (smart homes, slimme beveiligingsapparaten, camera’s enz.) naar de nieuwste beschikbare softwareversies om ervoor te zorgen dat de meest recente oplossingen voor bugs en beveiligingsproblemen worden geïnstalleerd .
  2. Update antivirus- en antimalwaresoftware en bijbehorende definitiebestanden op persoonlijke computerapparatuur (laptops, mobiele telefoons, tablets enz.).
  3. Gebruik het HTTPS-protocol om verbinding te maken met websites, wat een extra coderingslaag toevoegt aan de verzonden gegevens. Houd rekening met Social Engineering-methoden die gebruikers vragen om op links te klikken of naar onbekende websites te navigeren.

Veel Gestelde Vragen

Q: Zijn deze aanvallen gemakkelijk succesvol uit te voeren?

A: Nee. Geen van deze aanvallen is gemakkelijk uit te voeren. De meeste vereisen een combinatie van het kunnen injecteren van 802.11-frames, het succesvol voltooien van een MITM-aanval en het succesvol sociaal manipuleren van het slachtoffer om browserwaarschuwingen over een link te omzeilen of om een ​​site te bezoeken die wordt gehost door een kwaadwillende server. Om al het bovenstaande te laten slagen, moet de aanvaller geavanceerd, ter plaatse en gewapend met gespecialiseerde hardware en software zijn, waarvan op dit moment niet bekend is dat ze openbaar beschikbaar zijn. Tot op heden is er geen melding dat FragAttacks ergens succesvol is uitgevoerd, behalve in een onderzoeksomgeving.

 

Q: Worden alle Wi-Fi-leveranciers getroffen?

A: Ja. De kwetsbaarheid zit in het 802.11-protocol en treft dus alle Wi-Fi-apparaten. Een van de aanvallen is gericht op alle typen Wi-Fi-clients, IoT-apparaten en toegangspunten: CVE-2020-24588 (Accepteert niet-SPP A-MSDU-frames). Een andere aanval is gericht op alle IoT-apparaten en toegangspunten en de meeste typen wifi-clients: CVE-2020-26146 (opnieuw samenvoegen van versleutelde fragmenten met niet-opeenvolgende pakketnummers). De overige aanvallen zijn gericht op sommige Wi-Fi-clients en IoT-apparaten en kunnen van invloed zijn op toegangspunten van consumentenkwaliteit (thuisrouters), maar niet op toegangspunten van Enterprise-kwaliteit.

 

Q: Worden Wi-Fi-clients getroffen door dit beveiligingslek?

A: Ja. Wi-Fi-clients zoals laptops, telefoons en tablets, evenals IoT-apparaten die 802.11 gebruiken, kunnen worden beïnvloed door de kwetsbaarheid van FragAttacks. Om de kwetsbaarheid volledig op te lossen, moeten beide uiteinden van de netwerkverbinding worden gepatcht: het AP en de client. De hierboven beschreven risicobeperkende strategieën kunnen het risico om te worden beïnvloed door deze kwetsbaarheid aanzienlijk verminderen totdat beide eindpunten zijn gepatched.

 

Q: Welke softwareversie bevat de oplossing en wanneer kan ik deze krijgen?

A: Raadpleeg de ondersteuningssite van uw hardware leverancier voor de beschikbaarheid van patches.

 

Q: Wat is mijn risico als ik niet upgrade?

A: Het risico is dat een aanvaller gevoelige clientgegevens kan exfiltreren in niet-versleutelde gegevens of clientapparaten kan manipuleren om naar onbekende sites te navigeren met behulp van kwaadwillende DNS-servers. Je zou kwetsbaar kunnen zijn; het zou afhangen van uw specifieke netwerkarchitectuur en configuratie. HTTPS-gegevens kunnen nog steeds gecodeerd en beschermd blijven, ondanks dat ze naar de bestemming van een aanvaller worden gerouteerd. Samenvattend kan een aanvaller dit beveiligingslek gebruiken als springplank om aanvullende aanvallen uit te voeren die waarschijnlijker zullen slagen wanneer ze gebruikmaken van het gecompromitteerde netwerk.

 

Q: Lost het upgraden van mijn AP- en controllersoftware het probleem op?

A: De kwetsbaarheid bevindt zich zowel aan de AP- als aan de clientzijde. Daarom is het mogelijk dat deze kwetsbaarheid niet volledig wordt verholpen totdat clients ook patches ontvangen. Netwerkcontrollers zijn niet kwetsbaar en vereisen geen patching.

 

Q: Heeft dit invloed op IoT-apparaten (bijv. Beveiligingscamera’s, enz.)?

A: Dit is van invloed op alle clients en AP’s die het Wi-Fi-protocol (802.11) gebruiken. Het heeft geen invloed op apparaten die op andere protocollen werken (bijv. BLE, Zigbee, enz.)

 

Q: Zijn end-to-end beveiligde transacties ook gecompromitteerd (HTTPS, enz.)?

A: Nee. Als de webserver de nieuwste versies van onderliggende protocollen gebruikt, zijn end-to-end-transacties veilig.

Deel dit artikel met anderen