Más allá de KrØØk: aún más chips Wi-Fi vulnerables a las escuchas


En Black Hat Usa 2020, los investigadores de ESET profundizaron en los detalles sobre la vulnerabilidad KrØØk en los chips Wi-Fi y revelaron que errores similares afectan a más marcas de chips de lo que se pensaba anteriormente.

De KrØØk a encontrar vulnerabilidades relacionadas

KrØØk (formalmente CVE-2019-15126) es un vulnerabilidad en los chips Wi-Fi Broadcom y Cypress que permite el descifrado no autorizado de cierto tráfico cifrado con WPA2. Específicamente, el error ha llevado a que los datos de la red inalámbrica se cifren con una clave de sesión por pares WPA2 que es todo ceros en lugar de la clave de sesión adecuada que se había establecido previamente en el protocolo de enlace de 4 vías. Este estado indeseable ocurre en chips Broadcom y Cypress vulnerables después de una disociación de Wi-Fi.

Figura 1. Descripción general de KrØØk: después de una disociación, los datos se transmiten cifrados con una clave de sesión totalmente cero

La explotación de KrØØk permite a los adversarios interceptar y descifrar datos (potencialmente sensibles) de interés y, en comparación con otras técnicas comúnmente utilizadas contra Wi-Fi, la explotación de KrØØk tiene una ventaja significativa: si bien deben estar dentro del alcance de la señal de Wi-Fi, los atacantes no necesitan estar autenticados y asociados a la WLAN. En otras palabras, no necesitan conocer la contraseña de Wi-Fi.

Trabajamos con los proveedores afectados (así como con ICASI) a través de un proceso de divulgación responsable antes de divulgar públicamente la falla en el Conferencia RSA en febrero de 2020. La publicidad resultante llamó la atención sobre el problema de muchos más fabricantes de chipsets y dispositivos, algunos de los cuales descubrieron que también tenían productos vulnerables, y desde entonces han implementado parches. Mantenemos una lista de avisos de proveedores relacionados sobre esta pagina internet(1).

Si bien no observamos CVE-2019-15126 en otros chips Wi-Fi que no sean Broadcom y Cypress, sí encontramos que vulnerabilidades similares afectaron a los chips de otros proveedores. Estos hallazgos se presentaron por primera vez en Black Hat United states of america 2020 y los describimos brevemente a continuación.

Qualcomm: CVE-2020-3702

Uno de los chips que miramos, además de los de Broadcom y Cypress, period de Qualcomm. La vulnerabilidad que descubrimos (a la que se asignó CVE-2020-3702) también se desencadenó por una disociación y condujo a la divulgación no deseada de datos al transmitir datos no cifrados en lugar de marcos de datos cifrados, al igual que con KrØØk. Sin embargo, la principal diferencia es que, en lugar de estar encriptados con una clave de sesión totalmente cero, los datos no están encriptados en absoluto (a pesar de que los indicadores de encriptación estén configurados).

Los dispositivos que probamos y descubrimos que eran vulnerables son el D-Url DCH-G020 Intelligent Household Hub y el enrutador inalámbrico Turris Omnia. Por supuesto, cualquier otro dispositivo no parcheado que utilice los conjuntos de chips Qualcomm vulnerables también será susceptible.

Tras nuestra divulgación, Qualcomm se mostró muy cooperativo y en julio lanzó una solución al controlador propietario utilizado en sus productos con soporte oficial. Sin embargo, no todos los dispositivos con chips Qualcomm utilizan este controlador propietario (en algunos casos, se utilizan controladores Linux de código abierto), como el controlador ascendente «ath9k», por ejemplo. Dado que Qualcomm no lo ha desarrollado activamente, no está claro en el momento de redactar este artículo si recibirá un parche de Qualcomm o de la comunidad de código abierto.

MediaTek y Microsoft Azure Sphere

También observamos la manifestación de una vulnerabilidad very similar (es decir, falta de cifrado) en algunos chips Wi-Fi de MediaTek.

Uno de los dispositivos afectados es el enrutador ASUS RT-AC52U. Otro es el kit de desarrollo de Microsoft Azure Sphere, que analizamos como parte de nuestro Asociación de Azure Sphere Stability Research Challenge. Azure Sphere utiliza el microcontrolador MT3620 de MediaTek y se dirige a una amplia gama de aplicaciones de IoT, que incluyen dominios domésticos inteligentes, comerciales, industriales y muchos otros.

Según MediaTek, los parches de software package que solucionan el problema se lanzaron durante marzo y abril de 2020. La corrección para MT3620 se incluyó en la versión 20.07 de Azure Sphere OS, lanzada en julio de 2020.

Lanzamiento del script de prueba

Como han pasado más de cinco meses desde que revelamos públicamente la vulnerabilidad KrØØk, y investigadores independientes han publicado varias pruebas de concepto, hemos decidido publicar el script que hemos estado usando para probar si los dispositivos son vulnerables a KrØØk. También hemos incluido pruebas para las variantes más nuevas que se describen aquí. Este script puede ser utilizado por investigadores o fabricantes de dispositivos para verificar que se hayan parcheado dispositivos específicos y que ya no sean vulnerables.

Un agradecimiento especial a nuestro colega Martin Kalužník, quien contribuyó enormemente a esta investigación.

(1) Si tiene un aviso que le gustaría agregar a esta lista, comuníquese con nosotros en Threatintel (at) eset.com.





Enlace a la noticia primary