The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проблемы, приводящие к обходу аутентификации Wi-Fi в IWD и wpa_supplicant

18.02.2024 22:10

В открытых пакетах IWD (Intel inet Wireless Daemon) и wpa_supplicant, используемых для организации подключения клиентских Linux-систем к беспроводной сети, выявлены уязвимости, приводящие к обходу механизмов аутентификации:

  • В IWD уязвимость (CVE-2023-52161) проявляется только при включении работы в режиме точки доступа, что нетипично для IWD, который обычно применяется для организации подключения к беспроводным сетям. Уязвимость позволяет подключиться к созданной точке доступа без знания пароля, например, когда пользователь явно предоставляет возможность выхода в сеть через своё устройство (Hotspot). Проблема устранена в версии IWD 2.14.

    Уязвимость вызвана отсутствием должной проверки порядка прохождения всех шагов при 4-этапном согласовании канала связи, применяемом при первом подключении к защищённой беспроводной сети. Из-за того, что IWD принимает сообщения для любых этапов согласования подключения, не проверяя факт прохождения предыдущего этапа, атакующий может, минуя отправку сообщения второго этапа, сразу отправить сообщение четвёртого этапа и получить доступ к сети, пропустив этап, на котором выполняется проверка аутентификации.

    При этом IWD пытается верифицировать код MIC (Message Integrity Code) для полученного сообщения четвёртого этапа. Так как сообщение второго этапа с параметрами аутентификации не получено, при обработке сообщения четвёртого этапа ключ PTK (Pairwise Transient Key) выставляется в нулевое значение. Соответственно, атакующий может вычислить MIC, используя нулевой PTK, и этот проверочный код будет принят IWD как корректный. После завершения подобного неполного согласования подключения атакующий получит полный доступ к беспроводной сети, так как точка доступа будет принимать отправляемые им кадры, зашифрованные нулевым ключом PTK.


  • Выявленная в wpa_supplicant проблема (CVE-2023-52160) позволяет злоумышленнику заманить пользователя в фиктивную беспроводную сеть, выступающую клоном сети, к которой намерен подключиться пользователь. В случае подключения пользователя к подставной сети, атакующий может организовать перехват незашифрованного транзитного трафика пользователя (например, обращения к сайтам без HTTPS).

    Из-за недоработки в реализации протокола PEAP (Protected Extensible Authentication Protocol) атакующий может добиться пропуска второй стадии аутентификации при подключении некорректно настроенного устройства пользователя. Пропуск второй стадии аутентификации позволяет атакующему создать подставной клон заслуживающей доверия Wi-Fi сети и обеспечить подключение пользователя к фиктивной сети без проверки пароля.

    Для успешного проведения атаки в wpa_supplicant на стороне пользователя должна быть отключена проверка TLS-сертификата сервера, а атакующий должен знать идентификатор беспроводной сети (SSID, Service Set Identifier). При этом атакующий должен быть в зоне досягаемости беспроводного адаптера жертвы, но вне зоны досягаемости точки доступа клонируемой беспроводной сети. Атака возможна на сети с WPA2-Enterprise или WPA3-Enterprise, в которых применяется протокол PEAP.

    Разработчики wpa_supplicant заявили, что не считают проблему уязвимостью, так как она проявляется только в некорректно настроенных беспроводных сетях, в которых аутентификация EAP используется вместе с протоколом PEAP (EAP-TTLS) без проверки TLS-сертификата сервера. Конфигурации без проверки сертификата не имеют защиты от активных атак. Выявившие уязвимость утверждают, что подобные некорректные конфигурации типичны и широко распространены, что ставит под угрозу многие потребительские устройства на базе Linux, Android и Chrome OS, на которых применяется wpa_supplicant.

    Для блокирования проблемы в wpa_supplicant выпущен патч, добавляющий режим обязательного прохождения второй фазы аутентификации, помимо проверки TLS-сертификата. По словам разработчиков предложенное изменение лишь обходной путь, усложняющий проведение атак при использовании ручной аутентификации и бесполезный при применении таких опций, как EAP-GTC. Для реального решения проблемы администраторам сетей следует привести их конфигурацию к должному виду, т.е. настроить цепочку доверия для проверки сертификата сервера при помощи параметра ca_cert.



  1. Главная ссылка к новости (http://lists.infradead.org/pip...)
  2. OpenNews: Выпуск IWD 2.0, пакета для обеспечения подключения к Wi-Fi в Linux
  3. OpenNews: Доступен открытый Wi-Fi стек OpenWifi 1.4
  4. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
  5. OpenNews: Определение контуров предметов за стеной через анализ сигнала Wi-Fi
  6. OpenNews: Выпуск hostapd и wpa_supplicant 2.10
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60623-iwd
Ключевые слова: iwd, wifi, wpa_supplicant, auth
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:06, 18/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при обработке сообщения четвёртого этапа ключ PTK
    > (Pairwise Transient Key) выставляется в нулевое значение.

    Шикарно. Дорогой интел походу вообще в создании протоколов - дрова, настолько детский баг вкатить это просто топ. Была б изумительная халява - если б еще найти что этим огреть можно.

    И wpa supplicant... эээ, печалька, с тем набором свойств - на да, дырка, только что с ней делать? Пользвателя WPA Enterprise сетки социал инженерить? Это и без WPA можно...

     
  • 1.2, Аноним (2), 23:27, 18/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    >Разработчики wpa_supplicant заявили, что не считают проблему уязвимость

    Опять разрабам в штаны наклали, да шо ж такое. Ндэ, с таким нарративом wpa_supplicant надо срочно дропать, а разрабов запомнить поимённо.

     
     
  • 2.3, Аноним (-), 23:37, 18/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Опять разрабам в штаны наклали, да шо ж такое. Ндэ, с таким нарративом wpa_supplicant
    > надо срочно дропать, а разрабов запомнить поимённо.

    А на замену то что будет? И ему не наложат еще больше при случае?

     
  • 2.4, Аноним (4), 23:58, 18/02/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И при чём здесь wpa_supplicant, если админ wifi-сети выбрал метод аутентификации по TLS-сертификатам, но но не настроил проверку сертификата?
     
     
  • 3.5, Аноним (2), 00:11, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Cve назначают на тот проект, который смогли проэксплуатировать. Точка.  Потому что назначить cve на всех админов в мире невозможно. Это вот так просто, но почему-то вызывает постоянно вопросы
     
     
  • 4.6, Аноним (6), 00:36, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А голые монги без пароля открытым портом к интернетам - это CVE тоже на монгу надо ставить? (и ведь многовцы поменяли дефолт конфиг ради вот такого вот, или не монговцы, но история такая была).
     
     
  • 5.19, User (??), 07:44, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ну, вообще - уязвимые дефолты "отсосдателей" таки харам, да. Что не так-то? То, что "разработчик типовой, резиновый" в эксплуатация не умей, безопасностей не знай, у него на компе все работает, отвалите от него!!! как бы не основание.
     
  • 5.28, похъ (?), 11:43, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    поменяли, ага (или не могновцы а пакетеры) - теперь она по умолчанию не слушает внешние адреса и соответственно - не работает ни в одной реальной ситуации.
    И первое что во всех инструкциях для дятлов напишут - меняйте эту глупость обратно на *

     
  • 4.9, Аноним (4), 02:52, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    CVE можно запросить и получить под что угодно, никакой проверки фактического наличия уязвимости там нет. Пример https://opennet.ru/59683
     
  • 4.14, Аноним (-), 05:48, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Cve назначают на тот проект, который смогли проэксплуатировать. Точка.

    Ну тады повесьте себе табличку с CVE на антенну вашей вафельницы, ибо есть 90% что ее можно раъ....ть, при том скорее всего минут за 10 - и таки вовсе не из-за вон той фигни а из-за более сушественных причин.

     
  • 3.32, pavlinux (ok), 13:36, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И при чём здесь wpa_supplicant, ...

    Если в светофоре сломался зелëный свет, после того как отработают
    красный и жëлтый ты дальше будешь стоять, пока не починят?
    Или поедешь по правилу "неуправляемого перекрëстка"?

    Для таких законопослушных ...

    > выпущен патч, добавляющий режим обязательного прохождения второй фазы аутентификации

     
     
  • 4.34, Аноним (-), 16:43, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Или поедешь по правилу "неуправляемого перекрëстка"?

    Да, давайте устроим замес на всю ораву, можно потом еще устроить гонки на выживание раз пошла такая пьянка. Вот и с протоколами такая фигня получилась - некто совершенно левый успешно авторизуется в результате. Ну подумаешь, пароля от сетки не знал.

     

  • 1.7, Аноним (7), 00:39, 19/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >В IWD уязвимость проявляется только при включении работы в режиме точки доступа, что нетипично для IWD, который обычно применяется для организации подключения к беспроводным сетям

    Угадайте в каком режиме Аноним решил для разнообразия применить IWD буквально вчера.

     
  • 1.8, Аноним (8), 01:12, 19/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > wpa_supplicant
    > выявлены уязвимости

    Да лишь бы он хоть как-то работал... Версия 2.10 не умеет точку доступа, приходится использовать 2.9. Тут не до уязвимостей, тут нужно удовлетворить базовую потребность в вайфае.

     
     
  • 2.26, Аноним (-), 09:54, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я думал для точки доступа hostapd используется?
     
     
  • 3.33, Аноним (8), 16:20, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это есть ты хочешь сам всё делать руками - конфиги, DNS, iptables. Но ты можешь хотеть просто нажать кнопку "Раздать WiFi" - вот здесь приходит wpasupplicant.
     
     
  • 4.36, Аноним (-), 22:45, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Это есть ты хочешь сам всё делать руками - конфиги, DNS, iptables.
    > Но ты можешь хотеть просто нажать кнопку "Раздать WiFi" - вот
    > здесь приходит wpasupplicant.

    Ну вообще, он тоже так то изначально - настраивается. А если какая прога настраивает это и обломалась - возможно траблы в ней или взаимодействии с оной? В wpa_supplicant ни звука о удалении этой фичи и даже что-то расщирили.

     
     
  • 5.37, Аноним (8), 10:20, 20/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > он тоже так то изначально - настраивается

    Имя сети и пароль против экрана нетривиального конфига

    > В wpa_supplicant ни звука о удалении этой фичи и даже что-то расщирили

    Я не говорю про удаление. Слегка сломали.

    https://bugs.launchpad.net/ubuntu/+source/wpa/+bug/1972790

     
     
  • 6.38, Аноним (-), 18:54, 20/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Имя сети и пароль против экрана нетривиального конфига

    Да там на самом деле конфиг несколько строчек, но кроме него еще будут всякие наты, ip forward и проч.

    > Я не говорю про удаление. Слегка сломали.

    Похоже на какую-то ошибку на стыке взаимодействий. А убунта конечно забавные господа, столько времени канифолить несчастный баг. Системные блин эксперты, гранд-фиксеры, супер-саппорт.

     
     
  • 7.39, Аноним (8), 23:10, 20/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А убунта конечно забавные господа

    Похоже что это не только убунта. Там в комментариях федоровцы и арчеводы.

     
  • 2.35, Аноним (-), 22:44, 19/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да лишь бы он хоть как-то работал... Версия 2.10 не умеет точку доступа,

    Как это? Вот тут: https://w1.fi/cgit/hostap/plain/wpa_supplicant/ChangeLog - ни звука о подобных изменениях нет. Так что анон что-то гонит.

    > приходится использовать 2.9. Тут не до уязвимостей, тут нужно удовлетворить
    > базовую потребность в вайфае.

    Это все вообще о чем? В ченжлоге ни звука про это дело, код тоже на месте как и документация. У вас ваша волшебная кнопочка отъехала и вы сделали глобальные выводы чтоли?

     
     
  • 3.40, Аноним (8), 23:13, 20/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот тут ни звука о подобных изменениях нет

    Так вайфай раздавать будет не changelog, а кривая програмулина. См. ссылку на баг выше. У меня ровно как и там - 2.10 не работает, а 2.9 работает.

     

  • 1.29, YetAnotherOnanym (ok), 12:25, 19/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > IWD принимает сообщения для любых этапов согласования подключения, не проверяя факт прохождения предыдущего этапа

    Ыыыы... Какая прелесть!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру