LWN: 新發(fā)現(xiàn)的一些WiFi漏洞！

關(guān)注了就能看到更多這么棒的文章哦～

Holes in the WiFi

By Jake Edge
May 12, 2021
DeepL assisted translation
https://lwn.net/Articles/856044/

之前發(fā)現(xiàn)了針對 WiFi 中 WPA2 加密方式的 KRACK 漏洞的安全專家，現(xiàn)在又公布了一組新的無線網(wǎng)絡(luò)協(xié)議中的漏洞。名為 FragAttacks 的 WiFi 漏洞是若干個 WiFi 漏洞，它們?yōu)E用了 WiFi 標(biāo)準(zhǔn)中的分片（fragmentation）和聚合（aggregation）功能，因此名為 "FragAttacks"。相關(guān)的 fix 措施已經(jīng)經(jīng)過了九個月的協(xié)調(diào)，因此安全研究員 Mathy Vanhoef 就有時間來撰寫多篇論文、一些幻燈片、演示視頻、補丁了，當(dāng)然還有為這些漏洞創(chuàng)建的網(wǎng)站和 logo。

其中有三個漏洞是 WiFi 標(biāo)準(zhǔn)中的設(shè)計缺陷，因此它們可能在各家廠商實現(xiàn)的 WiFi 產(chǎn)品中都存在，而其他九個是某些廠家實現(xiàn)中出現(xiàn)的特定問題。設(shè)計中的缺陷雖然更普遍存在，但它們也更加難以被惡意利用，"因為需要用戶互動，或者只有在使用不常見的網(wǎng)絡(luò)設(shè)置參數(shù)時才可能被攻擊"。這意味著 FragAttacks 中真正存在巨大風(fēng)險的，還是在于各家的 WiFi 實現(xiàn)中的代碼錯誤。"實驗表明，每個 Wi-Fi 產(chǎn)品都至少受到一個漏洞的影響，而大多數(shù)產(chǎn)品都受到幾個漏洞的影響"。

事實上，在他所建立的網(wǎng)站中的 FAQ 頁面，Vanhoef 說他如果有哪個產(chǎn)品能夠不受這些漏洞影響，那么他愿意列在網(wǎng)站的光榮榜上。他還指出，盡管這些設(shè)計缺陷本身很難被利用，但它們可以跟其他被發(fā)現(xiàn)的缺陷結(jié)合起來，形成一些更嚴(yán)重的問題。"換句話說，對一些設(shè)備來說，影響很小，而對另一些設(shè)備來說，則是災(zāi)難性的影響。"

Fragging

名字其實已經(jīng)說明了一切，fragmentation 和 aggregation 是 wireless"frame"可以根據(jù)不同的條件來進行分割或聚合。大的 frame 可以被分割來確?？煽啃?，而小的 frame 可以被聚合起來以達到更好的網(wǎng)絡(luò)吞吐量。2017 年，他在研究 KRACK 攻擊時注意到 Linux 中的 fragmentation 問題，但他推遲了深入研究，直到 2020 年才著手進行：

三年后，在有了一些新的調(diào)查思路后，仔細分析下來證實了我的一些預(yù)感，也發(fā)現(xiàn)這些問題比我最初的想象其實更加普遍。而伴隨著一些額外的審查，我也發(fā)現(xiàn)了其他這些漏洞。

聚合（aggregation）過的 frame，會有一個"is aggregated" flag，但這個 flag 沒有跟數(shù)據(jù)包頭的其他內(nèi)容一起保護起來（Vanhoef 使用的術(shù)語是 authenticated），因此攻擊者可以改變這個 flag，并不會導(dǎo)致幀失效。如果攻擊者能夠欺騙受害者連接到一個有問題的服務(wù)器，那么他們就可以使得受害者對加密的數(shù)據(jù)的處理收到影響。這里的步驟就是通過精心挑選一些 frame 然后改寫 frame 中的 aggregation flag，實現(xiàn)能夠?qū)⒁恍阂饩W(wǎng)絡(luò)數(shù)據(jù)包注入受害者的系統(tǒng)中。在演示中，這個漏洞導(dǎo)致受害者使用了一個惡意的 DNS 服務(wù)器。

這個問題的解決方法也很明顯：將 flag 添加到幀頭的受保護部分。具有諷刺意味的是，標(biāo)準(zhǔn)中已經(jīng)設(shè)計了相關(guān)的流程，但沒有什么設(shè)備按這個流程進行了實現(xiàn)。這對那些實施 "安全 "系統(tǒng)的人來說是個教訓(xùn)：

不幸的是，許多產(chǎn)品已經(jīng)參照 802.11n 協(xié)議的 draft 方案來進行了實現(xiàn)，這意味著這個問題解決時必須確保向后兼容。當(dāng)時決定，device 應(yīng)該廣播告知別人它是否能夠?qū)?"is aggregated" flag 進行 authenticate。只有當(dāng)設(shè)備實現(xiàn)了并且在宣傳這種功能時，才會讓 "is aggregated" flag 真正被保護起來。不幸的是，哪怕到了 2020 年，我們測試過的設(shè)備中也沒有一個能支持這個功能，可能是因為廠商認(rèn)為這些功能很難被利用。在 2007 年時就有一句話："雖然很難看出這個功能會被如何利用，但這顯然是一個可以 被修復(fù)的缺陷。"

換句話說，人們確實注意到了這個漏洞，并將防御措施寫進了標(biāo)準(zhǔn)規(guī)范里面，但在實踐中，該防御措施從未被采用。這是一個很好的例子，說明安全防御措施必須在攻擊變得實用之前被采用。

fragmentation 功能很少有設(shè)備會啟用，所以在 fragmentation 部分發(fā)現(xiàn)的兩個設(shè)計缺陷的影響更小一些。屬于同一幀的每個 fragment 都使用了相同的密鑰進行加密，但接收者并不需要嚴(yán)格按照這個來，他們可以拿經(jīng)過不同密鑰加密過的 fragment 來重新組裝出 frame。"在極少數(shù)情況下，這個特點可能會被濫用來導(dǎo)致數(shù)據(jù)泄露"。

此外，WiFi 設(shè)備在客戶端斷開網(wǎng)絡(luò)連接時并不會強制把內(nèi)存中它們已經(jīng)收到但因為等待更多 fragment 因此尚未組裝起來的 fragment 清空。攻擊者可以在設(shè)備上預(yù)先埋伏一些 fragment，并在預(yù)計受害者連接上來的情況下斷開連接。如果受害者使用了這個 fragment（"實際上似乎并不常見"），那么這個漏洞也可以被用來導(dǎo)致數(shù)據(jù)泄露。

針對這兩種 fragmentation 情況下的漏洞，修復(fù)方法都是要讓 device 要比標(biāo)準(zhǔn)所要求的更積極主動。device 應(yīng)該確保所有的 fragment 在被重新組合和進一步處理之前，都確定是用相同的密鑰進行加密的。同樣，當(dāng)客戶端斷開連接時，內(nèi)存中那些尚未組裝完成的 frame 相關(guān)的 fragment 也應(yīng)該都清除掉。至少在事后諸葛亮的角度來看，這兩者都是符合謹(jǐn)慎的 "防御性編程" 的措施。

More flaws

下面這個對其余缺陷的概述，展示了如何將多個漏洞結(jié)合在一起來導(dǎo)致進一步的混亂：

一些路由器會將握手幀（handshake frame）轉(zhuǎn)發(fā)給另一個 client device，盡管發(fā)送者還沒有通過認(rèn)證（authenticated）。這個漏洞允許攻擊方發(fā)起 aggregation attack，并將被修改過的 frame 插入，這個過程不需要用戶的配合。

另一個極其常見的實現(xiàn)缺陷是，接收者不檢查所有的 fragment 是否屬于同一個 frame，這意味著攻擊方可以通過混合兩個不同 frame 的 fragment 來偽造出一個 frame。

此外，針對某些廠商的 WiFi 實現(xiàn)方式，它們有可能會將加密和明文的 fragment 混起來。

最后，一些設(shè)備不支持 fragment 或 aggregation，但仍然容易受到攻擊，因為它們會將 fragmented frame 當(dāng)作一個完整幀來處理。在某些情況下，這可以被利用來注入數(shù)據(jù)包。

家庭網(wǎng)絡(luò)特別容易受到這些缺陷的影響，而且鑒于許多家庭網(wǎng)絡(luò)設(shè)備的都不怎么進行安全更新，這類問題可能會在未來幾年內(nèi)持續(xù)存在。作者提供的演示（在 YouTube 視頻）用三個例子展示了在這種環(huán)境下如何利用這些缺陷：

首先，aggregation 的設(shè)計缺陷被濫用，從而截獲敏感信息（如受害者的用戶名和密碼）。第二步，攻擊方利用不安全的物聯(lián)網(wǎng)設(shè)備來遠程開啟和關(guān)閉智能電源插座。最后，它展示了這些漏洞是如何被濫用來作為發(fā)起更高級攻擊，具體來說，該視頻展示了攻擊者如何在本地網(wǎng)絡(luò)中控制了一臺不再更新的 Windows 7 機器。

總共發(fā)布了 12 個 CVE：其中三個是設(shè)計缺陷，四個是 "允許在受保護的 Wi-Fi 網(wǎng)絡(luò)中輕易地注入明文的 frame "的漏洞，還有五個是其他一些具體實現(xiàn)中的漏洞。Wi-Fi 聯(lián)盟和互聯(lián)網(wǎng)安全促進行業(yè)聯(lián)盟（ICASI）協(xié)調(diào)后對這些缺陷進行了回應(yīng)，并且采用了不同的策略來分配 CVE 編號：

雖然每個受影響的 codebase 通常會分配到一個單獨的 CVE，但這些受影響的供應(yīng)商之間也達成過協(xié)議，在這種特定情況下，在不同 codebase 中使用相同的 CVE 會使溝通更加容易。例如，用一個 CVE 把相關(guān)的漏洞關(guān)聯(lián)起來，客戶就可以詢問供應(yīng)商他們的產(chǎn)品是否受到某個特定 CVE 的影響。請注意，這偏離了 MITRE 的正常原則，這個決定是由受影響的供應(yīng)商自己做出的，這不代表 MITRE 在分配 CVE 的原則方面的任何變化。

從字里行間可以看出，MITRE 和（或） CVE 委員會對這種做法并不完全滿意。最近，委員會對 CVE 的發(fā)布過程一直在盡量進行保護。要平衡所有不同的 CVE 的用戶和消費者的需求一直是一個持續(xù)存在的問題，其中一部分我們在四月初已經(jīng)討論過。

與此同時，包括 Vanhoef 在內(nèi)的 Linux 網(wǎng)絡(luò)開發(fā)人員已經(jīng)提出了一組 patch 來解決內(nèi)核中的漏洞。有些是在 mac80211 核心代碼中的修復(fù)，而有些則是在驅(qū)動中處理的。更多的 fix 可能也會出現(xiàn)在其他驅(qū)動上，或者在內(nèi)核本身。除此之外，一些硬件需要進行固件更新。有些硬件的固件已經(jīng)被更新，修復(fù)了這些漏洞（并沒有廣而告之，至少英特爾固件是這樣）。

FragAttacks 是一整串的漏洞，這是毫無疑問的，但不清楚的是它們在現(xiàn)實世界中會構(gòu)成多么嚴(yán)重的問題。然而，無論如何人們都應(yīng)該重視對設(shè)備進行更新。不幸的是，WiFi 的實現(xiàn)代碼往往被部署在那些很少或根本沒有維護的設(shè)備中，甚至有可能是根本不可以被維護的。這個情況本身就應(yīng)該導(dǎo)致大家對標(biāo)準(zhǔn)和具體實施中的安全性進行更多的 review 和測試。但隨著時間的推移，我們也很可能會看到下一批、再下一批的 WiFi 安全漏洞。

全文完
LWN 文章遵循 CC BY-SA 4.0 許可協(xié)議。

歡迎分享、轉(zhuǎn)載及基于現(xiàn)有協(xié)議再創(chuàng)作～

長按下面二維碼關(guān)注，關(guān)注 LWN 深度文章以及開源社區(qū)的各種新近言論～