Adiós a los cortafuegos: los errores de Wi-Fi abren los dispositivos de red a ataques remotos

Adiós a los cortafuegos: los errores de Wi-Fi abren los dispositivos de red a ataques remotos

Mathy Vanhoef

Una de las cosas que hace que Wi-Fi funcione es su capacidad para dividir grandes porciones de datos en porciones más pequeñas, y viceversa, según las necesidades de la red en un momento dado. Resulta que estas funciones mundanas de plomería de red han estado albergando vulnerabilidades que pueden explotarse para enviar a los usuarios a sitios web maliciosos o explotar o manipular dispositivos conectados a la red, según muestra una investigación recientemente publicada.

En total, el investigador Mathy Vanhoef encontró una docena de vulnerabilidades, ya sea en la especificación de Wi-Fi o en la forma en que la especificación se ha implementado en una gran cantidad de dispositivos. Vanhoef ha apodado las vulnerabilidades FragAttacks, abreviatura de ataques de fragmentación y agregación, porque todos implican fragmentación o agregación de marcos. En términos generales, permiten a las personas que se encuentran dentro del alcance de la radio inyectar tramas de su elección en redes protegidas por cifrado basado en WPA.

Malas noticias

Evaluar el impacto de las vulnerabilidades no es sencillo. Los FragAttacks permiten inyectar datos en el tráfico de Wi-Fi, pero no permiten filtrar nada. Eso significa que FragAttacks no se puede usar para leer contraseñas u otra información confidencial como lo hizo un ataque Wi-Fi anterior de Vanhoef, llamado Krack. Pero resulta que las vulnerabilidades, algunas que han sido parte de Wi-Fi desde su lanzamiento en 1997, pueden explotarse para infligir otros tipos de daños, particularmente si se combinan con otros tipos de piratería.

“Nunca es bueno tener a alguien capaz de colocar paquetes en su red o apuntar a sus dispositivos en la red”, escribió Mike Kershaw, un experto en seguridad Wi-Fi y desarrollador del rastreador inalámbrico e IDS de código abierto Kismet, escribió en un correo electrónico. “En algunos aspectos, estos no son peores que usar un punto de acceso no cifrado en una cafetería (alguien puede hacer lo mismo con usted allí, trivialmente) pero debido a que pueden suceder en redes que de otro modo pensaría que son seguras y que podrían haber configurado como una red confiable, ciertamente son malas noticias “.

Añadió: “En general, creo que le dan a alguien que ya estaba apuntando a un ataque contra un individuo o empresa un punto de apoyo que no habría tenido antes, lo que definitivamente es impactante, pero probablemente no representa un riesgo tan grande como drive- por ataques a la persona promedio “.

Si bien las fallas se revelaron la semana pasada en un esfuerzo de toda la industria que duró nueve meses, no está claro en muchos casos qué dispositivos eran vulnerables a qué vulnerabilidades y qué vulnerabilidades, si las hay, han recibido actualizaciones de seguridad. Es casi seguro que muchos dispositivos habilitados para Wi-Fi nunca serán reparados.

Inyección de DNS no autorizado

Una de las vulnerabilidades más graves de la suite FragAttacks reside en la propia especificación de Wi-Fi. Rastreado como CVE-2020-24588, la falla puede explotarse de una manera que obligue a los dispositivos Wi-Fi a usar un servidor DNS falso, que a su vez, puede llevar a los usuarios a sitios web maliciosos, en lugar de los que pretendían. Desde allí, los piratas informáticos pueden leer y modificar cualquier tráfico no cifrado. Los servidores DNS no autorizados también permiten a los piratas informáticos realizar Ataques de revinculación de DNS, en el que sitios web maliciosos manipulan un navegador para atacar otros dispositivos conectados a la misma red.

El servidor DNS no autorizado se introduce inyectando un Anuncio de enrutador ICMPv6 en el tráfico de Wi-Fi. Los enrutadores suelen emitir estos anuncios para que otros dispositivos de la red puedan localizarlos. El anuncio inyectado indica a todos los dispositivos que utilicen un DNS especificado por el atacante, para búsquedas de direcciones IPv6 e IPv4.

Un exploit mostrado en un video publicado por Vanhoef muestra al atacante atrayendo al objetivo a un sitio web que oculta el anuncio del enrutador en una imagen.

FragAttacks: demostración de defectos en WPA2 / 3.

Aquí hay una descripción visual:

Mathy Vanhoef

En un correo electrónico, Vanhoef explicó: “El anuncio del enrutador IPv6 se coloca en la carga útil (es decir, la porción de datos) del paquete TCP. Estos datos se transmiten de forma predeterminada a la aplicación que creó la conexión TCP, en la demostración que sería el navegador que espera una imagen. Esto significa que, de forma predeterminada, el cliente no procesará el anuncio del enrutador IPv6, sino que procesará la carga útil de TCP como datos de la aplicación (aquí[‘s] una imagen).”

Dijo que es posible realizar el ataque sin la interacción del usuario cuando el punto de acceso del objetivo es vulnerable a CVE-2021-26139, una de las 12 vulnerabilidades que componen el paquete FragAttacks. La falla de seguridad se debe a una falla del kernel en NetBSD 7.1 que hace que los puntos de acceso Wi-Fi reenvíen Protocolo de autenticación extensible a través de LAN tramas a otros dispositivos incluso cuando el remitente aún no se ha autenticado en el AP.

Es seguro saltarse adelante, pero para aquellos que tengan curiosidad sobre el error de software específico y la razón por la que la demostración de video usa una imagen maliciosa, Vanhoef explicó:

Para hacer que la víctima procese la carga útil de TCP (es decir, la porción de datos) como un paquete separado, se abusa de la falla de diseño de agregación en Wi-Fi. Es decir, el atacante intercepta el paquete TCP malicioso en la capa de Wi-Fi y establece el indicador “está agregado” en el encabezado de Wi-Fi. Como resultado, el receptor dividirá la trama de Wi-Fi en dos paquetes de red: el primer paquete de red contiene parte del encabezado TCP original y se descarta. El segundo paquete se corresponde con la carga útil de TCP, que nos aseguramos de que ahora corresponda al paquete ICMPv6 y, como resultado, la víctima procesa ahora el anuncio del enrutador ICMPv6 como un paquete separado. Por lo tanto, se requiere la proximidad a la víctima para establecer el indicador de Wi-Fi “agregado”, de modo que el receptor divida el paquete TCP malicioso en dos.

El defecto de diseño es que un adversario puede cambiar / establecer la bandera “está agregado” sin que el receptor se dé cuenta. Esta bandera debería haberse autenticado para que un receptor pueda detectar si se ha modificado.

Es posible realizar el ataque sin la interacción del usuario cuando el punto de acceso es vulnerable a CVE-2020-26139. De los cuatro enrutadores domésticos probados, dos de ellos tenían esta vulnerabilidad. Parece que la mayoría de los enrutadores basados ​​en Linux se ven afectados por esta vulnerabilidad. El artículo de investigación analiza con más detalle cómo funciona esto; esencialmente, en lugar de incluir el anuncio del enrutador ICMPV6 en un paquete TCP malicioso, puede incluirse en un mensaje de protocolo de enlace no cifrado (que el AP reenviará al cliente, después de lo cual el adversario puede volver a establecer el indicador “es agregado”, etc.).

Haciendo un agujero en el cortafuegos

Cuatro de las 12 vulnerabilidades que componen FragAttacks son fallas de implementación, lo que significa que provienen de errores que los desarrolladores de software introdujeron al escribir código basado en la especificación de Wi-Fi. Un atacante puede explotarlos contra los puntos de acceso para eludir un beneficio de seguridad clave que brindan.

Además de permitir que varios dispositivos compartan una sola conexión a Internet, los enrutadores evitan que el tráfico entrante llegue a los dispositivos conectados a menos que los dispositivos lo hayan solicitado. Este firewall funciona mediante la traducción de direcciones de red, o NAT, que asigna direcciones IP privadas que el AP asigna a cada dispositivo en la red local a una única dirección IP que el AP utiliza para enviar datos a través de Internet.

El resultado es que los enrutadores envían datos a los dispositivos conectados solo cuando los han solicitado previamente desde un sitio web, servidor de correo electrónico u otra máquina en Internet. Cuando una de esas máquinas intenta enviar datos no solicitados a un dispositivo detrás del enrutador, el enrutador los descarta automáticamente. Este arreglo no es perfecto, pero proporciona una defensa vital que protege miles de millones de dispositivos.

Vanhoef descubrió cómo explotar las cuatro vulnerabilidades de una manera que le permita a un atacante, como él dijo, “hacer un agujero en el firewall de un enrutador”. Con la capacidad de conectarse directamente a dispositivos detrás de un firewall, un atacante de Internet puede enviarles códigos o comandos maliciosos.

En una demostración del video, Vanhoef explota las vulnerabilidades para controlar un dispositivo de IoT, específicamente para encender y apagar de forma remota una toma de corriente inteligente. Normalmente, NAT evitaría que un dispositivo fuera de la red interactúe con el socket a menos que el socket haya iniciado primero una conexión. Los exploits de implementación eliminan esta barrera.

En una demostración separada, Vanhoef muestra cómo las vulnerabilidades permiten que un dispositivo en Internet inicie una conexión con una computadora que ejecuta Windows 7, un sistema operativo que dejó de recibir actualizaciones de seguridad hace años. El investigador utilizó esa capacidad para obtener un control completo sobre la PC enviándole un código malicioso que explotaba una vulnerabilidad crítica llamada BlueKeep.

“¡Eso significa que cuando un punto de acceso es vulnerable, es fácil atacar a los clientes!” Escribió Vanhoef. “Así que estamos abusando de las fallas de implementación de Wi-Fi en un punto de acceso como primer paso para atacar posteriormente (desactualizado) clientela. “

Obteniendo tu solución

A pesar de que Vanhoef pasó nueve meses coordinando parches con más de una docena de fabricantes de hardware y software, no es fácil averiguar qué dispositivos o software son vulnerables a qué vulnerabilidades y de esos productos vulnerables, cuáles han recibido correcciones.

Esta página proporciona el estado de los productos de varias empresas. Una lista más completa de advertencias conocidas es aquí. Otros avisos están disponibles individualmente de sus respectivos proveedores. Las vulnerabilidades a buscar son:

Defectos de diseño:

  • CVE-2020-24588: ataque de agregación (que acepta tramas A-MSDU no SPP).
  • CVE-2020-24587: ataque de clave mixta (reensamblaje de fragmentos cifrados con claves diferentes).
  • CVE-2020-24586: ataque de caché de fragmentos (no borrar fragmentos de la memoria cuando (re) conectarse a una red).

Vulnerabilidades de implementación que permiten la inyección de marcos de texto plano:

  • CVE-2020-26145: Aceptar fragmentos de difusión de texto sin formato como fotogramas completos (en una red cifrada).
  • CVE-2020-26144: Aceptación de tramas A-MSDU de texto sin formato que comienzan con un encabezado RFC1042 con EtherType EAPOL (en una red cifrada).
  • CVE-2020-26140: Aceptar marcos de datos de texto sin formato en una red protegida.
  • CVE-2020-26143: Aceptar marcos de datos de texto plano fragmentados en una red protegida.

Otras fallas de implementación:

  • CVE-2020-26139: Reenvío de tramas EAPOL aunque el remitente aún no esté autenticado (solo debería afectar a los AP).
  • CVE-2020-26146: Reensamblaje de fragmentos cifrados con números de paquete no consecutivos.
  • CVE-2020-26147: Reensamblaje de fragmentos mixtos cifrados / de texto sin formato.
  • CVE-2020-26142: Procesamiento de fotogramas fragmentados como fotogramas completos.
  • CVE-2020-26141: No se verifica el TKIP MIC de los fotogramas fragmentados.

La forma más eficaz de mitigar la amenaza que plantea FragAttacks es instalar todas las actualizaciones disponibles que corrigen las vulnerabilidades. La gente tendrá que hacer esto en cada computadora, enrutador u otro dispositivo de Internet de las cosas que sea vulnerable. Es probable que una gran cantidad de dispositivos afectados nunca reciban un parche.

La siguiente mejor mitigación es garantizar que los sitios web siempre utilicen conexiones HTTPS. Esto se debe a que el cifrado que proporciona reduce en gran medida el daño que se puede hacer cuando un servidor DNS malicioso dirige a una víctima a un sitio web falso.

Los sitios que usan HTTP Strict Transport Security siempre usarán esta protección, pero Vanhoef dijo que solo alrededor del 20 por ciento de la Web lo hace. Extensiones de navegador como HTTPS en todas partes ya eran una buena idea, y la mitigación que brindan contra FragAttacks los hace aún más valiosos.

Como se señaló anteriormente, no es probable que FragAttacks se explote contra la gran mayoría de los usuarios de Wi-Fi, ya que los exploits requieren un alto grado de habilidad y proximidad, es decir, entre 100 pies y media milla, según el equipo utilizado. —Al objetivo. Las vulnerabilidades representan una mayor amenaza para las redes utilizadas por objetivos de alto valor, como cadenas minoristas, embajadas o redes corporativas, donde la seguridad es clave y, probablemente, solo en conjunto con otras vulnerabilidades.

Cuando las actualizaciones estén disponibles, instálelas por todos los medios, pero a menos que esté en este último grupo, recuerde que las descargas no autorizadas y otros tipos de ataques más mundanos probablemente representarán una amenaza mayor.

Leave a Reply

Your email address will not be published. Required fields are marked *