有超过10亿设备受到CVE-2019-15126 Kr00k WiFi加密漏洞的影响
2020-02-28 12:00:00 Author: www.4hou.com(查看原文) 阅读量:274 收藏

ESET研究人员在主流的客户端设备、路由器和访问点AP设备的WiFi芯片中发现一个安全漏洞,漏洞CVE编号为CVE-2019-15126,该漏洞可以用来部分解密用户通信,并泄露无线网络包中的数据。

Broadcom和Cypress等设备组件受到该漏洞的影响,而这些组件植入在手机、平板、笔记本和IOT小设备中。根据初步估计,有超过10亿设备受到该漏洞的影响。

All-zero(全0) session key

Kr00k漏洞影响使用AES-CCMP加密来保证数据机密性和完整性的WPA2-Personal和WPA2-Enterprise协议。研究人员解释称,利用该漏洞可以使用all-zero(全0)加密密钥来加密部分用户通信。

该漏洞与2017年10月发现的KRACK (Key Reinstallation Attack)漏洞有关联,KRACK是WPA2协议中4次握手中的一个漏洞。最初,研究人员认为Kr00k可能是all-zero(全0) 加密密钥重安装的可能原因。

设备会与AP在多个阶段建立连接,其中WPA2协议通过Pre-Shared Key (预共享密钥PSK)保证了通信双方的多次认证,而PSK就是WiFi密码。

4次握手的过程建立了确保数据完整性和机密性的加密密钥,其中一个是Pairwise Transient Key (PTK)。PTK会被分割成不同的key以实现不同的功能。

与Kr00k漏洞利用相关的环境是128位的Temporal Key (临时密钥,TK),TK会加密客户端和AP之间的多播数据帧。

当客户端从一个点到另一个点时可能会连接到多个AP(association, reassociation),由于干扰断开连接(disassociation)。

研究人员解释说,Kr00k发生在disassociation阶段之后,也就是说保存在WiFi芯片中的TK会被置为0,即在内存中被清空。

虽然这是一个正常的过程,但是在用all-zero(全0) TK加密后发送芯片的传输缓存(Tx)中遗留的数据帧并不正常。

与KRACK不同的是,KRACK是4次握手时发生的攻击,而Kr00k是一个在触发了disassociation状态后可以被利用的漏洞。

漏洞利用的可能性

通过触发目标设备上的disassociation状态可以利用该漏洞,而通过deauthentication攻击来触发是很简单的。deauthentication攻击需要受害者设备的MAC地址,并发送未加密状态和未认证状态的管理数据帧。

攻击者可以拦截传输缓存中的数据帧,并解密,实现获取敏感信息的目的。研究人员称,即使攻击者没有连接到网络,使用监控模式的WNIC也可以发起攻击。

受害者附近的攻击者可以持续触发disassociation来获取含有敏感信息的网络数据包,比如DNS、ARP、ICMP、HTTP和TCP。

利用Kr00k获取的WLAN流量

受影响的产品

考虑到Broadcom芯片广泛应用于WiFi设备中,Cypress应用于IoT设备中,研究人员粗略估算目前有超过10亿设备受到影响。

研究人员发现以下设备受到Kr00k漏洞的影响:

· Amazon Echo 2代

· Amazon Kindle 8代

· Apple iPad mini 2

· Apple iPhone 6, 6S, 8, XR

· Apple MacBook Air Retina 13-inch 2018

· Google Nexus 5

· Google Nexus 6

· Google Nexus 6S

· Raspberry Pi 3

· Samsung Galaxy S4 GT-I9505

· Samsung Galaxy S8

· Xiaomi Redmi 3S

· Asus RT-N12

· Huawei B612S-25d

· Huawei EchoLife HG8245H

· Huawei E5577Cs-321

研究人员称未在Qualcomm, Realtek, Ralink, Mediatek的WiFi芯片中发现该漏洞。目前Broadcom和 Cypress已经发布了固件补丁给相关厂商。研究人员建议用户尽快安装相关补丁。

The Industry Consortium for Advancement of Security on the Internet (ICASI,促进互联网安全企业论坛)也将相关问题通知了其他厂商,以确保其他WiFi芯片厂商了解Kr00k漏洞,并检查其产品是否受到该漏洞的影响。

ESET将在RSA大会和3月初的Nullcom会议上发布相关研究成果。

更多技术细节参见https://www.eset.com/int/kr00k/https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf

本文翻译自:https://www.bleepingcomputer.com/news/security/kr00k-bug-in-broadcom-cypress-wifi-chips-leaks-sensitive-info/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/GQ4J
如有侵权请联系:admin#unsafe.sh