Fueron detectadas nuevas vulnerabilidades de autenticación WiFi en Linux
Hace poco se dio a conocer la noticia de que fueron identificadas dos nuevas vulnerabilidades en los paquetes de software de código abierto Wifi de Linux que permiten a los atacantes engañar a las víctimas para que se conecten a redes clonadas (FakeAP imitando al original) e intercepten su tráfico.
Las vulnerabilidades descubiertas fueron detectadas en los paquetes IWD (Intel inet Wireless Daemon) y wpa_supplicant, los cuales se utilizan para gestionar la conexión de sistemas cliente Linux a redes inalámbricas.
Naturaleza de las vulnerabilidades : dos ataques de omisión de autenticación en redes WPA2/3 modernas: uno contra usuarios que se conectan a Enterprise WiFi y el otro contra redes WiFi domésticas existentes .
Impacto:
wpa_supplicant: permite a un atacante engañar a una víctima para que se conecte a un clon malicioso de una red WiFi empresarial y posteriormente interceptar su tráfico.
IWD: permite a un adversario obtener acceso no autorizado a una red WiFi doméstica protegida, exponiendo a los usuarios y dispositivos existentes a ataques.
En el caso de IWD, la vulnerabilidad (catalogada bajo CVE-2023-52161) se manifiesta únicamente cuando se habilita el modo de punto de acceso, que no es una configuración habitual para IWD, diseñado principalmente para conectarse a redes inalámbricas. Esta vulnerabilidad permite conectarse a un punto de acceso creado sin necesidad de conocer la contraseña, por ejemplo, cuando un usuario proporciona acceso a la red a través de su dispositivo (hotspot).
Se menciona que la vulnerabilidad se origina en la falta de verificación del orden de los pasos durante la negociación de la conexión inalámbrica. Esta negociación se basa en un canal de comunicación de 4 pasos al conectarse por primera vez a una red inalámbrica segura. El problema radica en que IWD acepta mensajes para cualquier etapa de esta negociación sin verificar si se ha completado la etapa anterior.
Por ejemplo, un atacante puede omitir el envío del mensaje de la segunda etapa y enviar directamente un mensaje de la cuarta etapa, evitando así la etapa en la que se verifica la autenticación. Al procesar este mensaje de la cuarta etapa sin la verificación adecuada, la clave PTK se establece en cero. Con esto, el atacante puede calcular el código MIC (Código de Integridad del Mensaje) utilizando un PTK nulo, y el IWD aceptará este código de verificación como válido.
Como resultado, el atacante completa esta negociación parcial de la conexión y obtiene acceso total a la red inalámbrica, ya que el punto de acceso recibirá las tramas que envíe cifradas con una clave PTK nula. Cabe mencionar que este problema fue solucionado en la versión 2.14 de IWD.
Por otro lado, en wpa_supplicant la vulnerabilidad (CVE-2023-52160) permite a un atacante atraer a un usuario a una red inalámbrica ficticia, actuando como un clon de la red a la que el usuario pretende conectarse. Esta falla en la implementación del protocolo PEAP permite al atacante omitir la segunda etapa de autenticación al conectar un dispositivo de usuario mal configurado, lo que facilita la creación de un clon falso de una red Wi-Fi confiable. Este problema afecta a redes con WPA2-Enterprise o WPA3-Enterprise que utilizan el protocolo PEAP.
Sobre esta vulnerabilidad se menciona que para llevar a cabo con éxito un ataque en wpa_supplicant, primero se deben cumplir algunas condiciones:
- Verificación del certificado TLS del servidor deshabilitada: El usuario debe deshabilitar la verificación del certificado TLS del servidor en su configuración de wpa_supplicant. Esta es una configuración peligrosa que permite al atacante engañar al cliente para que se conecte a una red falsa.
- Conocimiento del SSID de la red clonada: El atacante debe conocer el identificador de la red inalámbrica (SSID) de la red clonada. Esto le permite al atacante configurar una red falsa que imita la red legítima y engañar al cliente para que se conecte a ella.
- Posicionamiento del atacante: El atacante debe estar dentro del alcance del adaptador inalámbrico de la víctima, pero fuera del alcance del punto de acceso de la red inalámbrica clonada. Esto significa que el atacante debe estar lo suficientemente cerca de la víctima para interceptar su tráfico, pero lo suficientemente lejos del punto de acceso legítimo para que el cliente elija la red falsa.
- Tipo de red: El ataque es posible en redes que utilizan WPA2-Enterprise o WPA3-Enterprise que implementan el protocolo PEAP. Este protocolo se utiliza comúnmente en entornos empresariales y educativos para autenticar usuarios en redes inalámbricas seguras.
Los desarrolladores de wpa_supplicant consideran que el problema no es una vulnerabilidad, ya que solo se manifiesta en redes inalámbricas configuradas incorrectamente que utilizan autenticación EAP junto con PEAP sin verificar el certificado TLS del servidor. Para mitigar este problema, se ha lanzado un parche que añade un modo de paso obligatorio de la segunda fase de autenticación, además de comprobar el certificado TLS. Sin embargo, para abordar completamente la vulnerabilidad, los administradores de red deben configurar una cadena de confianza para verificar el certificado del servidor mediante el parámetro ca_cert.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.