Олар Qualcomm және HiSilicon маршрутизаторларына әсер ететін осалдықты анықтады

Бұл туралы жаңалық жарияланды зерттеушілер тобы Цинхуа университетінен (Қытай) және Джордж Мейсон университетінен (АҚШ) осалдық туралы ақпаратты ашты (CVE-2022-25667) кіру нүктелерінде бұл WPA, WPA2 және WPA3 хаттамалары арқылы қорғалған сымсыз желілерде трафикті (MITM) ұстауды ұйымдастыруға мүмкіндік береді.

ICMP пакеттерін өңдеу арқылы «Қайта бағыттау» жалаушасының көмегімен шабуылдаушы өз жүйесі арқылы сымсыз желі ішіндегі жәбірленушінің трафигін қайта бағыттай алады, оны шифрланбаған сеанстарды (мысалы, HTTPS емес сайттарға сұраулар) ұстап алу және бұрмалау үшін пайдалануға болады.

Осалдық жалған ICMP хабарламаларын дұрыс сүзгілеудің болмауынан туындайды сымсыз желіде пакеттерді төмен деңгейде өңдеуді қамтамасыз ететін желілік процессорларда (NPUs, Network Processing Units) жіберуші мекенжайының спуфингімен.

Басқа нәрселермен қатар, NPU-лар жалғандықты тексерместен, «қайта бағыттау» жалаушасы бар жалған ICMP пакеттерін қайта бағыттады, олар құрбан пайдаланушы жағында маршруттау кестесінің параметрлерін өзгерту үшін пайдаланылуы мүмкін.

Орталық идея - WPA және ICMP протоколдары арасындағы қабатаралық өзара әрекеттесулердің осалдығын теріс пайдалану, WPA қолданатын байланыс деңгейінің қауіпсіздік тетіктерінен толықтай жалтару. 

Шабуыл ICMP пакетін жіберуге дейін азаяды пакет тақырыбындағы жалған деректерді көрсететін «қайта бағыттау» жалаушасы бар кіру нүктесі атынан. Осалдыққа байланысты хабарлама кіру нүктесі арқылы жіберіледі және хабарды кіру нүктесі жіберген деп болжайтын жәбірленушінің желілік стекімен өңделеді.

Біз шабуылды сәтті бастау үшін екі талапты орындаймыз. Біріншіден, шабуылдаушы ICMP қайта бағыттау хабарын жасау үшін заңды кіру нүктесін жалғандаған кезде, кіру нүктесі сол жалған ICMP қайта бағыттауларын тани және сүзе алмайды.

Сонымен қатар, зерттеушілер тексерулерді айналып өту әдісін ұсынды соңғы пайдаланушы жағындағы «қайта бағыттау» жалаушасы бар ICMP пакеттерін және олардың маршруттау кестесін өзгертіңіз. Сүзуді айналып өту үшін шабуылдаушы алдымен жәбірленушінің жағындағы белсенді UDP портын анықтайды.

Екіншіден, біз жалған ICMP қайта бағыттау хабары жәбірленушінің заңдылығын тексеруден жалтарып, оның маршруттау кестесін уландыратынына көз жеткізу үшін жаңа әдіс әзірледік. Біз барлық басым Wi-Fi қауіпсіздік режимдерін қамтитын 122 нақты Wi-Fi желісі бойынша ауқымды өлшемдік зерттеу жүргіздік.

Бір сымсыз желіде бола отырып, шабуылдаушы трафикті ұстай алады, бірақ оның шифрын шеше алмайды, өйткені ол жәбірленуші кіру нүктесіне кірген кезде қолданылатын сеанс кілтін білмейді. Дегенмен, жәбірленушіге сынақ пакеттерін жіберу арқылы шабуылдаушы «Тағайындалған жерге қол жеткізу мүмкін емес» жалаушасы бар кіріс ICMP жауаптарын талдау негізінде белсенді UDP портын анықтай алады. Содан кейін шабуылдаушы анықталған ашық UDP портын көрсететін "қайта бағыттау" жалаушасы және жалған UDP тақырыбы бар ICMP хабарламасын жасайды.

Мәселе HiSilicon және Qualcomm чиптері арқылы кіру нүктелерінде расталды. Танымал 55 өндірушінің (Cisco, NetGear, Xiaomi, Mercury, 10, Huawei, TP-Link, H360C, Tenda, Ruijie) 3 түрлі кіру нүктелерінің үлгілерін зерттеу олардың барлығы осал және пакетті блоктамайтынын көрсетті. ICMP. Сонымен қатар, қолданыстағы 122 сымсыз желіні талдау 109 желіге (89%) шабуыл жасау мүмкіндігін анықтады.

Осалдықтарды пайдалану үшін, шабуылдаушы Wi-Fi желісіне заңды түрде қосыла алуы керек, яғни ол сымсыз желіге кіру параметрлерін білуі керек (осалдықтар желі ішіндегі пайдаланушы трафигін бөлу үшін WPA* хаттамаларында қолданылатын механизмдерді айналып өтуге мүмкіндік береді).

Сымсыз желілердегі дәстүрлі MITM шабуылдарынан айырмашылығы, ICMP пакеттік жалғандық әдісін қолдана отырып, шабуылдаушы трафикті тоқтату үшін өзінің жалған кіру нүктесін қолдануды айналып өтіп, пакеттерді қайта бағыттау үшін желіге қызмет көрсететін заңды кіру нүктелерін пайдалана алады.ICMP арнайы жәбірленуші үшін жасалған.

Соңында, егер сіз бұл туралы көбірек білгіңіз келсе, егжей-тегжейлерді мына жерден көре аласыз келесі сілтеме.