Jei turite savo Wi-Fi maršrutizatoriuje sukūrę specialų tinklą svečiams ir manote, kad jis visiškai apsaugo jūsų tinklą, kuriame yra kiti įrenginiai – galite labai klysti.
Mokslininkai nustatė, kad papildomas belaidis tinklas, kurį nustatote svečiams, gali ne visiškai izoliuoti įrenginius taip, kaip reklamuoja maršrutizatorių gamintojai, o tai gali leisti kenkėjiškiems veikėjams tame pačiame tinkle perimti srautą.
Wi-Fi saugumo tyrėjai atrado naujų pažeidžiamumų, kurie leidžia atakų vykdytojams tame pačiame tinkle perimti ir trikdyti srautą. Šios problemos egzistuoja net jei įjungta WPA2 arba WPA3 šifravimas ir klientų izoliacija.
Šios technikos, pavadintos „AirSnitch“, buvo pristatytos vasario 25 d. saugumo simpoziume San Diege kur tyrėjai iš Kalifornijos universiteto, Riverside ir KU Leuven pristatė savo išvadas.
Tyrimas neįrodo, kad Wi-Fi šifravimas buvo nulaužtas. Tačiau jis rodo, kad dažnai naudojama apsaugos funkcija, vadinama klientų izoliacija, gali būti apeita daugelyje realių tinklo konfigūracijų.
„AirSnitch“ nekeičia WPA2 ar WPA3 kriptografijos, todėl slaptažodžiai lieka saugūs ir pagrindinis belaidžio srauto šifravimas išlieka tvirtas.
Problema ta, kad daugelis maršrutizatorių ir prieigos taškų naudoja klientų izoliaciją, kad įrenginiai tame pačiame Wi-Fi tinkle negalėtų tiesiogiai bendrauti tarpusavyje. Tačiau kadangi klientų izoliacija nėra standartizuota pagal IEEE 802.11 specifikaciją, skirtingi gamintojai ją įgyvendina savo būdais.
Tyrėjai nustatė, kad daugelis įrenginių ne visada nuosekliai taiko izoliaciją visose tinklo sluoksniuose. Kartais bendri transliavimo raktai ir silpnas identiteto siejimas tarp aparatinės įrangos ir IP sluoksnių leidžia atakos vykdytojui apsimesti kitu įrenginiu. Šis apsimetimas gali nukreipti srautą per kenkėjišką įrenginį, sukuriant klasikinę „man-in-the-middle“ situaciją.
Kokie Wi-Fi maršrutizatoriai ir tinklai yra paveikti AirSnitch?
Tyrėjai išbandė įvairius vartotojams skirtus maršrutizatorius, atviro kodo programinę įrangą ir įmonių prieigos taškus, ir nustatė, kad bent viena „AirSnitch“ technika veikė su kiekvienu patikrintu įrenginiu. Konkrečiai vertinti šie vartotojų modeliai:
- Netgear Nighthawk X6 R8000
- Tenda RX2 Pro
- D-LINK DIR-3040
- TP-Link Archer AXE75
- Asus RT-AX57
Šie maršrutizatoriai nėra vieninteliai įrenginiai, pažeidžiami „AirSnitch“.
Tyrėjai taip pat išbandė DD-WRT ir „OpenWrt“ programinės įrangos distribucijas. Išvados rodo platesnes architektūrines silpnybes, o ne tik atskirus produkto trūkumus.
Atakos vykdytojui reikia būti tame pačiame belaidžiame tinkle, kas gali įvykti prisijungus prie atviro svečių tinklo arba naudojant bendrą Wi-Fi slaptažodį. Turint teisėtą prieigą, jie gali vykdyti ataką.
Viešieji Wi-Fi taškai, bendri biuro tinklai, daugiabučių tinklai ir universiteto kampusai yra labiau pažeidžiami, nes keli nepatikimi vartotojai dažnai būna prijungti prie tos pačios infrastruktūros. Kai svetimi žmonės naudoja tą patį belaidį tinklą, padidėja tikimybę, kad kas nors šia prieiga pasinaudos.
Kodėl AirSnitch pažeidžiamumas svarbus WPA2 ir WPA3 Wi-Fi saugumui
WPA2 ir WPA3 šifravimas saugo ryšį tarp įrenginio ir maršrutizatoriaus. Tačiau jei prieigos taškas leidžia, įrenginiai tame pačiame tinkle vis tiek gali bendrauti tarpusavyje.
„AirSnitch“ atskleidžia, kad atakos vykdytojai gali išnaudoti spragas klientų izoliacijos įgyvendinime ir nukreipti srautą, kai patenka į tinklą. Nors modernus HTTPS ir TLS šifravimas vis dar apsaugo daugumą interneto sesijų turinio, atakos vykdytojai gali įterpti srautą arba trukdyti ryšiams.
Tam tikromis sąlygomis taip pat gali būti vykdomos atakos, pvz., DNS manipuliacija. Tyrimas iš naujo atveria vietinių tinklų atakų kategoriją, kurią daugelis administratoriai manė jau beveik išsprendę naudojant klientų izoliaciją.
Kaip apsisaugoti nuo „AirSnitch“ ir užtikrinti Wi-Fi saugumą
- Naudokite VPN visuose įrenginiuose, ypač viešuose ar bendruose tinkluose, kad srautas būtų užšifruotas.
- Laikykite maršrutizatorių ir prieigos taškus atnaujintus su naujausia programine įranga, nes gamintojai išleidžia pataisas šioms pažeidžiamoms vietoms.
- Venkite prisijungimo prie neužtikrintų belaidžių tinklų ir nenaudokite to paties Wi-Fi slaptažodžio skirtingose vietose.
- Jei turite namų tinklą, išjunkite svečių SSID, jei jų nereikia, arba atskirkite juos nuo pagrindinių įrenginių naudodami VLAN ar skirtingą aparatūrą.
- Įmonėms rekomenduojama griežtai taikyti tinklo segmentaciją ir įgyvendinti zero-trust saugumo modelį, laikant kiekvieną prijungtą įrenginį potencialiai nepatikimu.
Nė vienas belaidis tinklas nėra visiškai apsaugotas nuo projektavimo trūkumų. Sluoksniuota sauga, stiprus šifravimas, segmentacija, galinių taškų apsauga ir užšifruotas interneto srautas yra geriausia gynyba nuo „AirSnitch“ tipo atakų.
