Specjaliści od wykrywania podatności odkryli ostatnio nową lukę w zabezpieczeniach, wynikającą z wady konstrukcyjnej standardu Wi-Fi IEEE 802.11. Podatność polega na możliwości przekonania ofiary do połączenia się z mniej bezpieczną siecią bezprzewodową i podsłuchiwania jej ruchu sieciowego.
Atak otrzymał nazwę „SSID Confusion” i jest śledzony jako CVE-2023-52424. Wpływa na wszystkie systemy operacyjne i klientów Wi-Fi, w tym sieci domowe i sieci mesh oparte na protokołach WEP, WPA3, 802.11X/EAP i AMPE.
Metoda opiera się na obniżeniu poziomu bezpieczeństwa ofiar do mniej bezpiecznej sieci poprzez fałszowanie SSID, aby atakujący mogli przechwycić ruch lub przeprowadzić dalsze ataki. Udany atak SSID Confusion powoduje również, że każda sieć VPN z funkcją automatycznego wyłączania w zaufanych sieciach sama się wyłącza, narażając ruch ofiary na ryzyko.
U podstaw ataku leży fakt, że standard Wi-Fi nie wymaga, aby nazwa sieci (SSID lub identyfikator zestawu usług) była zawsze uwierzytelniana, a środki bezpieczeństwa są wymagane tylko wtedy, gdy urządzenie zdecyduje się dołączyć do określonej sieci.
Ostatecznym skutkiem takiego zachowania jest to, że osoba atakująca może oszukać klienta, aby nawiązał połączenie z niezaufaną siecią Wi-Fi, a nie z tą, z którą zamierzał się połączyć, i przeprowadzić atak typu adversary-in-the-middle (AitM). Innymi słowy, nawet jeśli hasła i inne dane uwierzytelniające są wzajemnie weryfikowane podczas łączenia się z chronioną siecią Wi-Fi, nie ma gwarancji, że użytkownik łączy się z tą siecią, z którą chce.
Aby atak mógł zostać przeprowadzony, muszą zostać spełnione pewne warunki wstępne:
- ofiara chce połączyć się z zaufaną siecią Wi-Fi,
- dostępna jest złośliwa sieć z tymi samymi danymi uwierzytelniającymi, co zaufana3,
- osoba atakująca znajduje się w zasięgu umożliwiającym wykonanie AitM pomiędzy ofiarą a zaufaną siecią.
Opis ataku
Na poniższym schemacie przedstawiono różne etapy ataku polegającego na pomyleniu identyfikatora SSID. Etapy opisano poniżej bardziej szczegółowo.
Początkowa konfiguracja
Atakujący konfiguruje fałszywy punkt dostępu („WrongAP” na diagramie) na innym kanale niż docelowa „niewłaściwa” sieć („WrongNet” na diagramie), z którą chce, aby ofiara się połączyła, i wykorzystuje go do reklamowania WrongNet.
WrongAP, który można łatwo utworzyć na standardowym laptopie, jest następnie wykorzystywany do utworzenia wielokanałowego pośrednika (MC MitM) pomiędzy ofiarą a WrongNet.
Następnie do przeprowadzenia trzyetapowego ataku wykorzystuje się zestaw MC MitM.
Etap 1: Wykrywanie sieci
Na pierwszym etapie ataku macierz MitM przechwytuje pakiety Wi-Fi wysyłane przez prawdziwy punkt dostępowy („TrustedNet” na schemacie) oraz oprogramowanie Wi-Fi ofiary w ramach normalnego wykrywania sieci.
Osoba atakująca modyfikuje te ramki, aby zamienić identyfikatory SSID zaufanych i niezaufanych sieci przed przesłaniem ich do pierwotnych miejsc docelowych.
W rezultacie urządzenie ofiary otrzymuje odpowiedzi sugerujące, że zaufana sieć znajduje się w pobliżu, nawet jeśli podszywa się pod nią fałszywy punkt dostępowy przeciwnika.
Etap 2: Przejęcie uwierzytelnienia
Ten etap ataku polega na oszukaniu klienta Wi-Fi ofiary w celu pomyślnego uwierzytelnienia WrongNet i połączenia się z nim tak, jakby był to TrustedNet.
Przeciwnik przechwytuje ramki wysyłane przez klienta Wi-Fi ofiary w ramach procesu uwierzytelniania i zapisuje identyfikator SSID z TrustedNet do WrongNet przed przesłaniem ich do prawdziwego punktu dostępowego, aby można było dokończyć uwierzytelnianie.
Szczegóły tego, co stanie się dalej, zależą od używanego protokołu, ale dopóki identyfikator SSID nie zostanie użyty w procesie wyprowadzania PMK (patrz wyżej), atak zakończy się sukcesem.
Etap 3: Trwający MitM
Ostatnim etapem jest trwający atak MC MitM, który przechwytuje cały ruch pomiędzy urządzeniem ofiary a punktem dostępowym i przepisuje ramki w czasie rzeczywistym w celu zmiany identyfikatora SSID z WrongNet na TrustedNet, tak aby klient cały czas myślał, że jest podłączony do zaufanej sieci.
Wpływ na VPN
Niektórzy klienci VPN automatycznie wyłączają połączenie VPN podczas łączenia się z „zaufanymi” sieciami Wi-Fi określonymi na podstawie ich identyfikatora SSID.
Udany atak SSID Confusion może nakłonić sieci VPN do wyłączenia, ujawniając ruch użytkownika.
Podsumowanie
Proponowane są już rozwiązania mające na celu przeciwdziałanie SSID Confusion. Obejmują aktualizację standardu Wi-Fi 802.11 poprzez włączenie identyfikatora SSID jako części 4-kierunkowego uzgadniania podczas łączenia się z chronionymi sieciami.
„Sieci mogą złagodzić atak, unikając ponownego wykorzystania danych uwierzytelniających w różnych identyfikatorach SSID” – stwierdzili naukowcy. „Sieci korporacyjne powinny używać odrębnych nazw CommonNames serwera RADIUS, podczas gdy sieci domowe powinny używać unikalnego hasła dla każdego identyfikatora SSID”.