Der er en ny betydelig sårbarhed, der påvirker en bred vifte af produkter. Døbt Kr00k (CVE-2019-15.126), sårbarheden kan udnyttes til opfange og dekryptere WiFi netværkstrafik stole på WPA2-forbindelser.
CVE-2019-15.126 Fejlen er beskrevet under RSA 2020 sikkerhedskonference i San Francisco af ESET forskere.
CVE-2019-15.126: Kr00k Sårbarhed Forklaret
Forskerne siger, at Kr00k, eller CVE-2019-15.126, påvirker alle Wi-Fi-kompatible enheder, der udnytter Broadcom og Cypress Wi-Fi-chips, eller to af de mest populære og udbredte sådanne chipsæt. Disse chips anvendes i næsten enhver enhed, såsom smartphones, laptops, IoT-enheder, etc.
Ifølge ESET, den Kr00k svaghed påvirker enheder fra Amazon (Echo Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Hindbær (Pi 3) og Xiaomi (redmi), men også adgangspunkter fra Asus og Huawei. Det fremgår, at mere end en milliard enheder er tilbøjelige til sårbarheden, og dette tal er en ”konservativt skøn".
Hvad gør Kr00k anderledes end tilsvarende sårbarheder?
Teknisk set, fejlen er ikke meget anderledes end andre fejl, der er beskrevet på daglig basis. Men, hvad gør denne ene mere kompleks, unik og farligt er det faktum, at det påvirker den kryptering, som sikrer datapakker sendes over WiFi-forbindelser.
I en typisk situation, disse pakker er krypteret via en unik nøgle, som er knyttet til brugerens WiFi adgangskode. Men, fremgår det, at i Broadcom og Cypress Wi-Fi chipsæt denne nøgle er nulstillet til en all-nul værdi i en bestemt proces kendt som afstandtagen.
Afstandtagen er en ”naturlig proces” i en Wi-Fi-forbindelse, som de fremgår af en afbrydelse, der kan ske som følge af et lavt signal. Trådløse enheder kan være i adskilles stater flere gange om dagen, og de kan genoprette forbindelsen automatisk til foregående netværk.
Problemet med den Kr00k sårbarhed er denne trussel aktører kan tvinge enheder til at indtaste en forlænget adskilles tilstand for at modtage bestemte WiFi pakker, og derefter installere fejlen til at dekryptere trafik via det nulstillede nøgle.
Det er bemærkelsesværdigt, at forskerne opdagede Kr00k mens de var ”KRACKing Amazon Echo". De Krack sårbarheder blev afsløret i 2017 når forskere manipuleret en farlig udnytte kaldes Krack angreb, som gør det muligt for hackere at aflytte på Wi-Fi-trafik mellem computere og andre netværksenheder som routere og adgangspunkter.
Selv to år efter sårbarheder blev omtalt, mange Wi-Fi-aktiverede enheder var stadig sårbar, herunder flere Amazon-enheder såsom udbredte Amazon Echo og Amazon Kindle. Den enorme userbase af disse enheder skabte en stor sikkerhedstrussel.
ESET senere opdagede, at ”mens den anden generation Amazon Echo ikke var påvirket af de oprindelige Krack angreb, det var sårbar over for en af de Krack varianter, specifikt: PTK geninstallation i 4-way handshake når STA bruger Temporal PTK konstruktion, tilfældig i lancerer."
Forskerne rapporterede også denne fejl til Amazon og opdagede, at synderen blev Cypress WLAN chippen bruges i anden generation af Echo enheder. Cypress WLAN chippen var sårbare over for fejlen forskeren senere opkaldt Kr00k.
De mener også, at den Krack teste scripts afslørede det ved at udløse en afstandtagen. "Det skal bemærkes, at kryptering med en all-nul TK kan have flere årsager - Kr00k er blot en af dem, selv om en meget betydningsfuld, på grund af den udbredte fordeling af de sårbare Broadcom og Cypress chips,”Eksperterne sagde i deres rapport.
Cisco undersøger i øjeblikket konsekvenserne af Kr00k i sine produkter
En af de seneste nyheder om denne sårbarhed er, at Cisco er i øjeblikket kontrollerer virkningen af sårbarheden inden for sine egne produkter. Årsagen er, at virksomheden anvender Broadcom chips i deres produktportefølje. Det fremgår, at mange af selskabets enheder er påvirket - et væld af gitter og Power over Ethernet (PoE) routere, firewall produkter, IP-telefoner, og adgangspunkt systemer.
Cisco også kontrollere tilstanden af Cisco DX70, DX80, og DX650 IP-telefoner kører opererer på Android firmware, samt Cisco IP-telefon 8861. Patches er endnu ikke udviklet.