WiFi protocol flaw allows attackers to hijack network traffic
2023/03/28 BleepingComputer — IEEE 802.11 WiFi プロトコル規格の設計において、基本的なセキュリティ上の欠陥が存在することを、サイバー・セキュリティ研究者たちが発見した。その悪用に成功した攻撃者は、アクセス・ポイントを騙すことが可能であり、ネットワーク・フレームを平文で漏えいさせられるという。WiFi フレームとは、ヘッダー/データペイロード/トレーラーで構成されるデータ・コンテナであり、そこに含まれるものとしては、送信元と送信先の MAC アドレス・コントロール/管理データなどの情報がある。これらのフレームは、受信ポイントのビジー/アイドル状態を監視することで衝突を回避し、データ交換性能を最大化するために、キューで順序付けられ、制御された方式で送信される。
そして研究者たちが発見したのは、データ伝送/クライアントのスプーフィング/フレームのリダイレクト/キャプチャを操作できる敵対者から、キュー/バッファリングされたフレームが適切に保護されていないという問題である。
ノースイースタン大学の Domien Schepers と Aanjhan Ranganathan および、imec-DistriNet/KU Leuven の Mathy Vanhoef が昨日に発表した技術論文には、「我々の攻撃では、さまざまなデバイスや OS (Linux/FreeBSD/iOS/Android) に影響を与えることに成功し、TCP 接続のハイジャックや、クライアントとWebトラフィックの傍受が可能になったことから、広範囲に影響 を及ぼすものになると考えられる」と記されている。
省電力の欠陥
IEEE 802.11 規格には、スリープ・デバイス宛のフレームを、WiFi デバイスがバッファリング/キューイングすることで電力を節約する、パワーセーブ機構が取り込まれている。クライアント・ステーション (受信デバイス) がスリープモードに入ると、省電力ビットを含むヘッダーを持つフレームがアクセス・ポイントに送信されるため、そのデバイス宛のフレームは、すべてキューに入れられることになる。
しかし、この規格では、キューに入れられたフレームのセキュリティを管理するための明確な指針はなく、この状態にフレームが留まる時間などの制限も設定されていない。クライアント・ステーションが起動すると、アクセス・ポイントはバッファリングされたフレームをデキューし、暗号化を適用して宛先に送信する。
したがって、攻撃者は、ネットワーク上のデバイスの MAC アドレスを偽装し、アクセス・ポイントへ向けて省電力フレームを送信し、ターゲット宛のフレームのキューイングを開始させることが可能となる。その後に、攻撃者はウェイクアップ・フレームを送信し、フレーム・スタックを回収する。
送信されたフレームは、WiFi ネットワーク内の全デバイスで共有されるグループ・アドレス暗号化キーまたは、各デバイスに固有のペアワイズ暗号化キー (2つのデバイス間で交換されるフレームの暗号化に使用) を用いて、通常は暗号化される。
しかし、攻撃者は、アクセス・ポイントを向けて認証フレームと関連付けフレームを送信することで、フレームのセキュリティ・コンテキストを変更し、平文でのフレームの送信もしくは、攻撃者が提供するキーによるフレームの暗号化を強制できる。
この攻撃は、研究者たちが作成した MacStealer という名のカスタム・ツールを介して可能となり、WiFi ネットワークでクライアントの分離バイパスをテストし、MAC 層で他のクライアント宛トラフィックの傍受を可能にする。
研究者たちは、Lancom/Aruba/Cisco/Asus/D-Link のネットワーク機器が、この攻撃の影響を受けると報告しており、その全リストを以下のように示している。
研究者たちは、これらの攻撃を利用することで、JavaScript などの悪意のコンテンツを TCP パケットに注入できると警告している。
研究者たちは、「敵対者は、自身のインターネットに接続されたサーバを使用して、送信者 IP アドレスを偽装したオフパスの TCP パケットを注入することで、その TCP 接続にデータを注入できる。この攻撃により、たとえば、クライアントのブラウザの脆弱性を突く目的で、平文の HTTP 接続で悪意の JavaScript コードが、被害者に送信される可能性がある」と述べている。
この攻撃は、トラフィックの盗聴にも利用できるが、大半の Web トラフィックは TLS を用いて暗号化されているため、影響は限定的だと思われる。
技術的な詳細と研究内容は、2023年5月12日に開催される BlackHat Asia カンファレンスで発表される、USENIX Security 2023 paper に掲載されるという。
Cisco が欠陥を認める
この、WiFi プロトコルの欠陥の影響を、最初に認めたベンダーは Cisco である。Cisco Wireless Access Point 製品や、無線機能を持つ Cisco Meraki 製品に対して、論文で説明された攻撃が成功する可能性があると認めている。
ただし Cisco は、適切に保護されたネットワークの全体的なセキュリティが、不正に取得されたフレームにより危険にさらされる可能性は低いと考えている。Cisco は、「この種の攻撃は、日和見的な攻撃と見られ、安全に構成されたネットワークにおいて、攻撃者が得る情報は最小限の価値しか持たないだろう」と述べている。
その一方で同社は、Cisco TrustSec や Software Defined Access (SDA) 技術を実装して、ネットワーク・アクセスを制限する Cisco Identity Services Engine (ISE) のようなシステムにより、ポリシー実施メカニズムの使用などの緩和策の適用を推奨している。
Cisco のアドバイザリには、「攻撃者が不正に取得したデータを使用不能にするために、輸送中のデータを暗号化するトランスポート・レイヤー・セキュリティを、可能な限り実装することを推奨している」と記されている。
現時点において、研究者が発見した欠陥を悪用する事例は確認されていない。
こんなところに、こんな脆弱性があるのかという類の話です。この脆弱性を認めた Cisco は、それにより攻撃者が得る情報は、最小限の価値しか持たないと言いながら、輸送中のデータを暗号化するトランスポート・レイヤー・セキュリティを、可能な限り実装することを推奨するとしています。この 5月に開催される、BlackHat Asia で発表とのことなので、どのような議論になるのか、とても楽しみです。
IoT OT Security News 
You must be logged in to post a comment.