Detectaron una vulnerabilidad en el búfer de paquetes Wi-Fi que afecta a varios dispositivos y OS
Mathy Vanhoef, autor del ataque KRACK a redes inalámbricas y 12 vulnerabilidades en los estándares IEEE 802.11, reveló una nueva vulnerabilidad (ya catalogada bajo CVE-2022-47522) en la tecnología de almacenamiento en búfer de paquetes Wi-Fi que afecta a varios dispositivos (Cisco, Ubiquiti) y sistemas operativos (Linux, FreeBSD, iOS, Android).
Además, el acceso al kit de herramientas MacStealer está disponible para llevar a cabo el ataque. La vulnerabilidad permite eludir el cifrado inalámbrico y se puede utilizar para interceptar el tráfico de clientes aislados.
El 27 de marzo de 2023, se hizo público el artículo de investigación Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues . Este documento analiza las vulnerabilidades en el estándar 802.11 que podrían permitir que un atacante falsifique un cliente inalámbrico objetivo y redirija tramas que están presentes en las colas de transmisión en un punto de acceso a un dispositivo controlado por el atacante. Este ataque se considera un ataque oportunista y la información obtenida por el atacante tendría un valor mínimo en una red configurada de forma segura.
La vulnerabilidad afecta el mecanismo de cola para almacenar tramas antes de enviarlas a los destinatarios, así como fallas en la gestión del contexto de protección para tramas en cola.
El motivo de la vulnerabilidad es la falta de instrucciones explícitas en el estándar 802.11 para administrar el contexto de protección para tramas almacenadas en búfer y la falta de protección para el indicador de ahorro de energía en el encabezado de la trama, con el que un atacante puede manipular la cola de tramas.
En muchos escenarios, los dispositivos Wi-Fi optarán por almacenar en búfer o en cola paquetes que llegan de las capas superiores antes de ser transmitidos. Uno de los casos de uso más comunes es conservar enciendidos los dispositivos como teléfonos móviles y computadoras portátiles.
El lanzamiento del estándar 802.11 ya contenía ahorro de energía en mecanismos que permiten a los clientes entrar en un estado de hibernación para consumir poca energía. Cuando un cliente entra en un estado de suspensión, el punto de acceso (AP) almacena en búfer tramas elegibles destinadas al cliente.
A través de la manipulación de marcos para los destinatarios en modo de suspensión (estableciendo el indicador de ahorro de energía en el encabezado), un atacante puede lograr su almacenamiento en búfer y cambiar el contexto de protección, lo que conducirá al envío de marcos desde la cola sin usar cifrado o con cifrado de clave null. Por separado, se propone una técnica para redirigir tramas en cola desde un punto de acceso a un dispositivo controlado por un atacante.
La capacidad de redirigir tramas fuera de la cola se debe al hecho de que en la pila inalámbrica, la autenticación del cliente y el enrutamiento de paquetes están separados entre sí (solo se usan direcciones MAC en el enrutamiento).
Para redirigir tramas al dispositivo del atacante, se utiliza un truco que consiste en desconectar periódicamente a la víctima después de enviarle una solicitud y conectar el dispositivo del atacante con la dirección MAC de la víctima (los paquetes que estaban dirigidos a la víctima y atascados en la cola ser enviado al dispositivo del atacante).
El ataque se puede utilizar para interceptar el tráfico de otros usuarios, pasando por alto el aislamiento del cliente a nivel de MAC, incluso si los clientes tienen prohibido comunicarse entre sí. Para completar con éxito un ataque, un atacante debe tener acceso a una red Wi-Fi, lo que en la práctica limita la vulnerabilidad para eludir el aislamiento del cliente en un punto de acceso (modo «aislamiento AP») o eludir el modo de inspección ARP dinámica (DAI) .
Por ejemplo, la vulnerabilidad se puede usar para atacar a usuarios de redes corporativas donde los usuarios están separados entre sí o que usan protocolos WPA2 y WPA3 en modo de aislamiento de cliente (establecer SSID separados para invitados o establecer contraseñas diferentes (Multi-PSK)) y también para atacar puntos de acceso público protegidos con tecnología Passpoint (Hotspot 2.0) o utilizando WPA3 SAE-PK.
En este caso, el ataque no se puede aplicar a dispositivos separados por VLAN (no se podrá atacar a un dispositivo en otra VLAN).
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.