一、漏洞概述
3月28日,啟明星辰VSRC監測到研究人員發佈研究論文《Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues》,可以修改傳輸隊列繞過Wi-Fi加密,該論文披露了802.11 標準中的一個基本安全漏洞,可能導致欺騙接入點以明文形式洩露網路幀。
WiFi 幀是由報頭、資料payload和報尾組成的資料容器,其中包括源和目標 MAC 地址、控制和管理資料等資訊。這些幀在隊列中排序並以受控方式傳輸,以避免衝突,並通過監測接收點的繁忙/空閒狀態來最大限度地提高資料交換性能。
但研究人員發現,排隊/緩衝的幀未得到充分的保護,導致威脅者可以操縱資料傳輸、實施客戶端欺騙、幀重定向和捕獲等。
IEEE 802.11標準包括省電機制,允許WiFi設備通過緩衝或排隊為休眠的設備發送幀來節省電力。當客戶端站(接收設備)進入睡眠模式時,它會向接入點發送一個幀,其幀頭中包含節能位,因此所有發往它的幀都會排隊。但是,該標準並沒有為管理這些排隊幀的安全性提供明確的指導,也沒有設置限制,如幀可以在這種狀態下停留多長時間。
一旦客戶端站被喚醒,接入點就會將緩衝的幀從隊列中取出,應用加密,並將它們傳輸到目的地。威脅者可以欺騙網路上設備的MAC地址,並向接入點發送節能幀,迫使接入點開始對目標幀進行排隊。然後,通過發送一個喚醒幀來檢索幀堆疊。
傳輸的幀通常使用組定址加密金鑰進行加密,該金鑰在WiFi網路中的所有設備之間共享,或者使用成對加密金鑰,該金鑰對每個設備都是唯一的,用於加密兩個設備之間交換的幀。但是,威脅者可以通過向接入點發送身份驗證和關聯幀來改變幀的安全環境,從而迫使它以明文形式傳輸幀或用威脅者提供的金鑰進行加密。
圖1.攻擊圖(來源:usenix2023-wifi論文)
這些攻擊可以使用研究人員創建的名為 MacStealer的自定義工具,該工具可以測試 WiFi 網路的客戶端隔離繞過,並在 MAC 層攔截髮往其他客戶端的流量。
研究人員表示,這些攻擊可被用來向TCP資料包中注入惡意內容,如JavaScript。這些攻擊也可以用來窺探流量,但由於大多數網路流量是使用TLS加密的,因此影響有限。
根據研究報告,目前已知Lancom、Aruba、Cisco、Asus、D-Link等公司的網路設備型號會受到這些攻擊的影響,完整列表如下:
圖2.經測試發現的易受攻擊的設備(來源:usenix2023-wifi論文)
二、影響範圍
目前已知Lancom、Aruba、Cisco、Asus 、D-Link 等公司的如下設備型號和軟體版本受到影響:
LANCOMLN-1700:10.42.0255
Aruba AP-305/7008:ArubaOS 8.4.0.0
Cisco Catalyst 9130:IOS XE 17.2.1.11
Hostapd on Linux:Version 2.10
Asus RT-AC51U:3.0.0.4.380 8591
D-Link DIR-853:ET853pnp-1.05-b55
D-Link DIR-853:OpenWRT 22.03
Cisco WAG320N:V1.00.08
Asus RT-N10:Tomato 1.28
三、安全措施3.1 升級版本
更多攻擊細節和詳情可參考usenix2023-wifi論文:
https://papers.mathyvanhoef.com/usenix2023-wifi.pdf
目前Cisco已經發布了應對這些攻擊的安全建議:
1.建議通過思科身份服務引擎 (ISE) 等系統使用策略實施機制,該系統可以通過實施思科 TrustSec 或軟體定義訪問 (SDA) 技術來限制網路訪問。
2.建議實施傳輸層安全性,儘可能對傳輸中的資料進行加密,因為這會使威脅者無法使用獲取的資料。
Cisco公告連結:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-ffeb-22epcEWu
3.2 臨時措施
暫無。
3.3 通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4 參考連結
https://papers.mathyvanhoef.com/usenix2023-wifi.pdf
https://github.com/vanhoefm/macstealer
https://www.bleepingcomputer.com/news/security/wifi-protocol-flaw-allows-attackers-to-hijack-network-traffic/
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-ffeb-22epcEWu
