wpa supplicant 2.10 llega solucionando algunas vulnerabilidades, integrando mejoras y mas
Después de un año y medio de desarrollo, se ha lanzado hostapd/wpa_supplicant 2.10, una suite para soportar los protocolos inalámbricos IEEE 802.1X, WPA, WPA2, WPA3 y EAP, que consta de la aplicación wpa_supplicant para conectarse a una red inalámbrica como un cliente y el proceso en segundo plano de hostapd para proporcionar un punto de acceso y un servidor de autenticación que incluye componentes como WPA Authenticator, cliente/servidor de autenticación RADIUS, servidor EAP.
Además de los cambios funcionales, la nueva versión bloquea un nuevo vector de ataque a través de canales de terceros, afectando el método de negociación de conexión SAE (Simultaneous Authentication of Equals) y el protocolo EAP-pwd.
Y es que la vulnerabilidad solucionada permitía que un atacante con la capacidad de ejecutar código sin privilegios en el sistema de un usuario que se conecta a una red inalámbrica puede obtener información sobre las características de una contraseña mediante el seguimiento de la actividad en el sistema y utilizarla para simplificar la adivinación de contraseñas fuera de línea.
El problema es causado por la fuga de información sobre las características de la contraseña a través de canales de terceros, que permiten, utilizando datos indirectos, como cambios en los retrasos durante las operaciones, aclarar la corrección de la elección de partes de la contraseña en el proceso de su selección.
A diferencia de problemas similares que se solucionaron en 2019, la nueva vulnerabilidad se debe al hecho de que las primitivas criptográficas externas utilizadas en la función crypto_ec_point_solve_y_coord() no proporcionaron un tiempo de operación constante, independientemente de la naturaleza de los datos que se procesan.
Según el análisis del comportamiento de la memoria caché del procesador, un atacante con la capacidad de ejecutar código sin privilegios en el mismo núcleo del procesador podría obtener información sobre el progreso de las operaciones de contraseña en SAE/EAP-pwd. Todas las versiones de wpa_supplicant y hostapd creadas con compatibilidad con SAE (CONFIG_SAE=y) y EAP-pwd (CONFIG_EAP_PWD=y) se ven afectadas.
En cuanto a los otros cambios que se implementaron en la nueva versión se agregó la capacidad de compilar con la biblioteca criptográfica OpenSSL 3.0.
Se ha implementado el mecanismo Beacon Protection propuesto en la actualización de la especificación WPA3, diseñado para proteger contra ataques activos en una red inalámbrica que manipulan los cambios de marco Beacon.
Tambien podremos encontrar que se agregó soporte para DPP 2 (Protocolo de aprovisionamiento de dispositivos Wi-Fi), que define el método de autenticación de clave pública utilizado en el estándar WPA3 para organizar la configuración simplificada de dispositivos sin una interfaz de pantalla. La configuración se realiza mediante otro dispositivo más avanzado que ya está conectado a una red inalámbrica.
Ademas de ello se agregó soporte para TLS 1.3 a la implementación de EAP-TLS (deshabilitado de manera predeterminada).
Se agregaron nuevas configuraciones (max_auth_rounds, max_auth_rounds_short) para cambiar los límites en la cantidad de mensajes EAP en el proceso de autenticación (es posible que sea necesario cambiar los límites cuando se usan certificados muy grandes).
La compatibilidad con WEP se elimina de las compilaciones de forma predeterminada (se requiere la reconstrucción con la opción CONFIG_WEP=y para devolver la compatibilidad con WEP). Se eliminó la funcionalidad en desuso relacionada con IAPP (Protocolo de puntos de acceso). Se eliminó el soporte para libnl 1.1. Se agregó la opción de compilación CONFIG_NO_TKIP=y para compilar sin compatibilidad con TKIP.
Se han corregido vulnerabilidades en la implementación de UPnP (CVE-2020-12695), en el controlador P2P/Wi-Fi Direct (CVE-2021-27803) y en el mecanismo de seguridad PMF (CVE-2019-16275).
Los cambios específicos de Hostapd incluyen la expansión del soporte para redes inalámbricas HEW (High-Efficiency Wireless, IEEE 802.11ax ), incluida la capacidad de usar la banda de frecuencia de 6 GHz.
De los demás cambios que se destacan:
- Se agregó soporte para ID de clave extendida (IEEE 802.11-2016).
- Se ha agregado soporte para el mecanismo de seguridad SAE-PK (SAE Public Key) a la implementación del método de negociación de conexión SAE.
- Se implementa el modo de envío de confirmación instantánea, habilitado por la opción «sae_config_immediate=1», así como el mecanismo hash-to-element, habilitado cuando el parámetro sae_pwe se establece en 1 o 2.
- Se agregó soporte para el mecanismo PASN (Negociación de seguridad previa a la asociación) para establecer una conexión segura y proteger el intercambio de marcos de control en una etapa temprana de la conexión.
- Se ha implementado el mecanismo de desactivación de transición, que permite desactivar automáticamente el modo de roaming, lo que permite cambiar entre puntos de acceso a medida que se desplaza, para mejorar la seguridad.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.