互联网安全研究职员日前在 IEEE 802.11 WiFi 协议标准的设计中发现了一个基本的安全漏洞,这个漏洞让攻击者可以诱骗接入点泄露明文格式的互联网帧。
WiFi 互联网帧好似数据容器,由报头、数据载荷和报尾组成,含有源和目的地 MAC 地址、控制和管理数据之类的信息。
这类帧在队列中排序,在受控制的材料中传输以免碰撞,并通过密切关注接收端的繁忙 / 空闲状况来最大限度地提高数据交换性能。
研究职员发现,队列 / 缓冲帧并没得到充分的保护,攻击者可以采取多种方法:操控数据传输、推广客户端欺骗、帧重定向和捕获。
美国东北大学的 Domien Schepers 和 Aanjhan Ranganathan 与比利时鲁汶大学 imec-DistriNet 的 Mathy Vanhoef 在昨天发表了一篇技术论文《对帧做手脚:通过操控传输队列绕过 WiFi 加密机制》,他们在论文中写道: 大家的攻击有其广泛的影响,由于它们可以影响各种不一样的设施和操作系统(Linux、FreeBSD、iOS 和Android),还由于它们可以用来劫持 TCP 连接或拦截推广客户端和网络流量。
节电漏洞
IEEE 802.11 标准包含节电机制,允许 WiFi 设施通过缓冲或队列发给睡眠模式设施的帧来达到节电成效。
当推广客户端站(接收设施)进入睡眠模式时,它向接入点发送一个帧,该帧的报头含有节电位,因此发给该接入点的所有帧都进入队列。
然而,该标准并没为管理这类队列帧的安全性提供明确的指导,也没设置限制,譬如帧可以在这种状况下逗留多久。
一旦推广客户端站由睡眠模式进入工作模式,接入点将缓存的帧从队列中取出,使用加密,并将它们传输到目的地。
攻击者可以欺骗互联网上设施的 MAC 地址,并向接入点发送节电帧,从而迫使它们开始将发送给目的的帧列入队列。然后,攻击者发送唤醒帧来检索帧堆栈。
传输的帧一般用在 WiFi 互联网中所有设施之间共享的组地址加密密钥或成对加密密钥进行加密,这个加密密钥对每一个设施而言都具备唯一性,用于加密两个设施之间交换的帧。
然而,攻击者可以通过向接入点发送验证帧和关联帧来改变帧的安全上下文,从而迫使接入点以明文形式传输帧或用攻击者提供的密钥对其进行加密。
图 1. 攻击图(图片来源:papers.mathyvanhoef.com)
这种攻击可以用研究职员创建的名为 MacStealer 的自概念工具来达成,该工具可以测试 WiFi 互联网的推广客户端隔离旁路,并在 MAC 层拦截发给其他推广客户端的流量。
研究职员报告,来自 Lancom、Aruba、思科、华硕和友讯的互联网设施型号已知遭到这类攻击的影响,完整的设施列表如下。
图 2. 测试后发现易受攻击的设施(图片来源:papers.mathyvanhoef.com)
研究职员警告,这类攻击可能被用来将 Javascript 等恶意内容注入到 TCP 数据包中。
研究职员警告: 攻击者可以用他们我们的与网络连接的服务器,通过注入带有受欺骗的发送者 IP 地址的路径外 TCP 数据包,将数据注入到这个 TCP 连接中。
譬如说,这可能被用来通过明文 HTTP 连接向受害者发送恶意 Javascript 代码,目的是借助推广客户端浏览器中的漏洞。
虽然这种攻击也可以用来窥视流量,但因为大部分网络流量都是用 TLS 加密的,因此导致的影响有限。
技术细节和研究内容可在 USENIX Security 2023 论文中获得(https://papers.mathyvanhoef.com/usenix2023-wifi.pdf),该论文将于 2023 年 5 月 12 日在马上召开的黑帽亚洲大会上发表。
思科承认漏洞
第一家承认 WiFi 协议漏洞影响的提供商是思科,它承认论文中概述的攻击或许会成功攻陷思科无线接入点商品和具备无线功能的思科 Meraki 商品。
然而思科觉得,检索到的帧不太可能危及适合安全的互联网具备的整体安全性。
思科声称: 这种攻击被视为伺机作案的攻击,攻击者获得的信息在安全配置的互联网中几乎没多少价值。
不过,该公司还是建议用户采取缓解手段,譬如通过思科身份服务引擎(ISE)等系统用方案实行机制,该系统可以通过推行思科 TrustSec 或软件概念访问(SDA)技术来限制互联网访问。
思科的安全通知写道: 思科还建议尽量推行传输层安全,以便对传输中的数据进行加密,由于这将使攻击者没办法用获得的数据。
现在,还没有人恶意借助研究职员发现的漏洞的已知案例。
