Boletín de Seguridad UNAM-CERT-2017-002 Ataque de reinstalación de llave en WPA2
Resumen
Las vulnerabilidades en el protocolo WPA2 permiten la manipulación del proceso de handshake entre un cliente y un Punto de Acceso (AP, por sus siglas en inglés) induciendo la reinstalación de la clave de sesión y otros parámetros utilizados para el cifrado de los mensajes transmitidos, lo que deriva en la manipulación de los mensajes enviados y transmitidos, el descifrado de la comunicación y hasta la inyección arbitraria de paquetes.
La vulnerabilidad radica en el protocolo, por lo que cualquier implementación del mismo es vulnerable.
Descripción
El tráfico involucrado en el proceso de handshake utilizado por el Acceso Protegido a Wi-Fi II (WPA2, por sus siglas en inglés) puede ser manipulado para inducir la reinstalación de la clave de sesión y el reinicio a valores de inicio de parámetros asociados, como el número incremental de transmisión de paquete (nonce) y el número de paquetes recibidos (replay counter), derivando en la reinstalación de la clave de sesión por un AP víctima o un cliente.
Después de establecer una posición de hombre en medio entre un AP y un cliente, un atacante puede manipular selectivamente la transmisión de mensajes en los handshakes de 4 vías, Group Key, Fast Basic Service Set (BSS) Transition, PeerKey, Tunneled Direct-Link Setup (TDLS) PeerKey (TPK), o Wireless Network Management (WNM) Sleep Mode, resultando en la recepción y transmisión de mensajes sin secuencia.
Dependiendo de los protocolos de confidencialidad utilizados, como TKIP, CCMP y GCMP, es posible el descifrado e inyección de paquetes arbitrarios, secuestro de la conexión TCP, inyección de contenido HTTP o la repetición de unicast y tramas direccionadas por grupo.
Los siguientes identificadores CVE fueron asignados a las vulnerabilidades en el protocolo WPA2:
- CVE-2017-13077: reinstalación del pairwise key en el handshake de cuatro vías
- CVE-2017-13078: reinstalación del group key (GTK) en el handshake de cuatro vías
- CVE-2017-13079: reinstalación del integrity group key (IGTK) en el handshake de cuatro vías
- CVE-2017-13080: reinstalación del group key (GTK) en el handshake de group key
- CVE-2017-13081: reinstalación del integrity group key (IGTK) en el handshake de group key
- CVE-2017-13082: aceptación y retransmisión de las peticiones Fast BSS Transition (FT) Reassociation Request y reinstalación del pairwise key (PTK-TK) al procesar las peticiones
- CVE-2017-13084: reinstalación del STK key en el handshake PeerKey
- CVE-2017-13086: reinstalación del Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) en el handshake TDLS
- CVE-2017-13087: reinstalación del group key (GTK) al procesar una respuesta Wireless Network Management (WNM) Sleep Mode Response
- CVE-2017-13088: reinstalación del integrity group key (IGTK) al procesar una respuesta Wireless Network Management (WNM) Sleep Mode Response
La prueba de concepto realizada por los investigadores que identificaron las vulnerabilidades muestra que es posible interceptar el tráfico entre un cliente y el AP incluso si se utiliza el protocolo HTTPS, lo que podría derivar en la captura de credenciales de correo, redes sociales, banca electrónica, entre otros por parte del atacante.
Impacto
Un atacante dentro del rango de comunicación entre un cliente y AP vulnerable podría aprovechar estas vulnerabilidades para realizar ataques que, dependiendo del protocolo de confidencialidad implementado, podrían ocasionar el descifrado e inyección de paquetes arbitrarios, secuestro de la conexión TCP, inyección de contenido HTTP o la repetición de unicast y tramas direccionadas por grupo.
Las vulnerabilidades descritas radican en el estándar mismo y no en implementaciones individuales, por lo que cualquier implementación correcta del estándar probablemente se vea afectada.
Solución
Instalación de actualizaciones en los productos afectados conforme estén disponibles. Para información específica para un producto se recomienda visitar el sitio web del proveedor o contactarlo directamente.
La siguiente lista muestra los fabricantes que fueron notificados por CERT/CC y están al tanto del problema y cuentan con una actualización para sus productos.
Fabricante | Estado | Fecha de notificación | Fecha de actualización |
Aruba Networks | Afectada | 28 de agosto de 2017 | 9 de octubre de 2017 |
Cisco | Afectada | 28 de agosto de 2017 | 10 de octubre de 2017 |
Espressif System | Afectada | 22 de septiembre de 2017 | 13 de octubre de 2017 |
Fortinet, Inc. | Afectada | 28 de agosto de 2017 | 16 de octubre de 2017 |
FreeBSD Project | Afectada | 28 de agosto de 2017 | 12 de octubre de 2017 |
HostAP | Afectada | 28 de agosto de 2017 | 16 de octubre de 2017 |
Intel Corporation | Afectada | 30 de agosto de 2017 | 16 de octubre de 2017 |
Juniper Networks | Afectada | 28 de agosto de 2017 | 10 de octubre de 2017 |
Microchip Tecnology | Afectada | 28 de agosto de 2017 | 28 de agosto de 2017 |
Red Hat, Inc. | Afectada | 28 de agosto de 2017 | 16 de octubre de 2017 |
Samsung Mobile | Afectada | 28 de agosto de 2017 | 4 de octubre de 2017 |
Toshiba Commerce Solutions | Afectada | 15 de agosto de 2017 | 12 de octubre de 2017 |
Toshiba Electronic Devices & Storage Corporation | Afectada | 28 de agosto de 2017 | 13 de octubre de 2017 |
Toshiba Memory Corporation | Afectada | 28 de agosto de 2017 | 16 de octubre de 2017 |
Ubiquiti Networks | Afectada | 28 de agosto de 2017 | 16 de octubre de 2017 |
Referencias
Vulnerability Note VU#228519
http://www.kb.cert.org/vuls/id/228519
Key Reinstallation Attacks
https://papers.mathyvanhoef.com/ccs2017.pdf
Breaking WPA2 by forcing nonce reuse
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
Elaboró: Luis Sánchez ( luis dot sanchez at cert dot unam dot mx )
Demian García ( demian dot garcia at cert dot unam dot mx )
Revisión de estilo: Raul González ( raul dot gonzalez at cert dot unam dot mx )
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
http://www.seguridad.unam.mx
Tel: 56 22 81 69