Se dio a conocer la noticia, de que un grupo de investigadores de la Universidad de Tsinghua (China) y la Universidad George Mason (EE.UU.) divulgaron información sobre una vulnerabilidad (CVE-2022-25667) en puntos de acceso inalámbricos que permite organizar la intercepción de tráfico (MITM) en redes inalámbricas protegidas mediante WPA, WPA2 y Protocolos WPA3.
Al manipular los paquetes ICMP con el indicador «redireccionar», un atacante puede redirigir el tráfico de la víctima dentro de la red inalámbrica a través de su sistema, que puede usarse para interceptar y suplantar sesiones no cifradas (por ejemplo, solicitudes a sitios sin HTTPS).
La vulnerabilidad se origina por la falta de filtrado adecuado de mensajes ICMP falsos con dirección de remitente suplantada (spoofing) en procesadores de red ( NPU , Network Processing Unit), que brindan procesamiento de paquetes de bajo nivel en una red inalámbrica.
Entre otras cosas, las NPU redirigieron, sin verificar la falsificación, paquetes ICMP falsos con el indicador de «redireccionamiento», que se pueden usar para cambiar los parámetros de las tablas de enrutamiento del lado del usuario víctima.
La idea central es hacer mal uso de la vulnerabilidad de las interacciones entre capas entre Protocolos WPAs e ICMP, evadiendo totalmente la seguridad de la capa de enlace mecanismos aplicados por las WPA.
El ataque se reduce a enviar un paquete ICMP en nombre del punto de acceso con el indicador de «redireccionamiento», que indica datos ficticios en el encabezado del paquete. Debido a la vulnerabilidad, el mensaje es reenviado por el punto de acceso y procesado por la pila de red de la víctima, que asume que el mensaje fue enviado por el punto de acceso.
Resolvemos dos requisitos para lanzar con éxito nuestro ataque. En primer lugar, cuando el atacante falsifica la AP legítima para crear un mensaje de redirección ICMP, AP no puede reconocer y filtrar esos redireccionamientos ICMP falsificados.
Además, los investigadores propusieron un método para eludir las comprobaciones de los paquetes ICMP con el indicador de «redireccionamiento» del lado del usuario final y cambiar su tabla de enrutamiento. Para eludir el filtrado, el atacante primero determina un puerto UDP activo en el lado de la víctima.
En segundo lugar, desarrollamos un nuevo método para garantizar que el ICMP falsificado el mensaje de redirección puede evadir la verificación de legitimidad de la víctima y luego envenenar su tabla de enrutamiento. Realizamos un extenso estudio de medición en 122 redes Wi-Fi del mundo real, cubriendo todos los modos de seguridad predominantes de Wi-Fi
Estando en la misma red inalámbrica, el atacante puede interceptar el tráfico, pero no puede descifrarlo, porque no conoce la clave de sesión utilizada cuando la víctima accede al punto de acceso. Sin embargo, al enviar paquetes de prueba a la víctima, el atacante puede determinar el puerto UDP activo en función del análisis de las respuestas ICMP entrantes con el indicador «Destination Unreachable». A continuación, el atacante genera un mensaje ICMP con el indicador de «redireccionamiento» y un encabezado UDP falsificado que especifica el puerto UDP abierto identificado.
El problema se ha confirmado en los puntos de acceso que utilizan chips HiSilicon y Qualcomm. Un estudio de 55 modelos diferentes de puntos de acceso de 10 fabricantes conocidos (Cisco, NetGear, Xiaomi, Mercury, 360, Huawei, TP-Link, H3C, Tenda, Ruijie) mostró que todos ellos son vulnerables y no bloquean las falsificaciones de paquetes ICMP. Además, el análisis de 122 redes inalámbricas existentes reveló la posibilidad de un ataque en 109 redes (89%).
Para explotar las vulnerabilidades, un atacante debe poder conectarse legítimamente a una red Wi-Fi, es decir, debe conocer los parámetros para ingresar a la red inalámbrica (las vulnerabilidades permiten eludir los mecanismos utilizados en los protocolos WPA* para separar el tráfico de usuarios dentro de la red).
A diferencia de los ataques MITM tradicionales en redes inalámbricas, utilizando la técnica de suplantación de paquetes ICMP, el atacante puede prescindir de implementar su propio punto de acceso ficticio para interceptar el tráfico y usar puntos de acceso legítimos que sirven a la red para redirigir paquetes ICMP especialmente diseñados a la víctima.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Fuente: desdelinux
