Hay una nueva vulnerabilidad importante que afecta a una amplia gama de productos. apodado Kr00k (CVE-2019-15126), la vulnerabilidad puede ser explotada para interceptar el tráfico y la red Wi-Fi descifrar depender de conexiones WPA2.
La falla CVE-2.019-15.126 fue revelada durante el RSA 2020 conferencia de seguridad en San Francisco por investigadores de ESET.
CVE-2019-15126: Kr00k vulnerabilidad Explicación
Los investigadores dicen que Kr00k, o CVE-2019 a 15126, afecta a todos los dispositivos Wi-Fi con capacidad que utilizan chips de Broadcom y Cypress Wi-Fi, o dos de los más populares y ampliamente usados tales conjuntos de chips. Estos chips se utilizan en casi cualquier dispositivo, tales como los teléfonos inteligentes, ordenadores portátiles, dispositivos IO, etc.
De acuerdo con ESET, la vulnerabilidad Kr00k afecta a los dispositivos de Amazon (Echo Kindle), Manzana (iPhone, iPad, MacBook), Google (Nexo), Samsung (Galaxia), Frambuesa (Pi 3) y Xiaomi (redmi), sino también los puntos de acceso de Asus y Huawei. Parece que más de mil millones de dispositivos son propensos a la vulnerabilidad, y este número es un “estimación conservadora".
Lo que hace diferente a Kr00k vulnerabilidades similares?
Técnicamente, el defecto no es muy diferente de otros defectos revelados en una base diaria. Sin embargo, lo que lo convierte en uno más complejo, único y peligroso es el hecho de que su impacto en la encriptación que asegura paquetes de datos enviados a través de conexiones Wi-Fi.
En una situación típica, estos paquetes están cifrados a través de una clave única que se asocia con la contraseña WiFi del usuario. Sin embargo, parece que en Broadcom y Cypress Wi-Fi chipsets esta tecla se repone en un valor cero durante todo un proceso específico conocido como disociación.
La disociación es un “proceso natural” en una conexión Wi-Fi, ya que se deriva de una desconexión que puede ocurrir como resultado de una señal de baja. Los dispositivos inalámbricos pueden estar en estados disociados varias veces al día, y se pueden volver a conectarse automáticamente a la red anterior.
El problema con la vulnerabilidad Kr00k es que los agentes de amenaza pueden obligar a los dispositivos para entrar en un estado disociado prolongada para recibir paquetes WiFi específicos, y luego desplegar el fallo para descifrar el tráfico a través de la llave de puesta a cero.
Es de destacar que los investigadores descubrieron Kr00k mientras estaban “Kracking Amazon Eco". Las vulnerabilidades fueron descubiertas en Krack 2017 cuando investigadores diseñaron una peligrosa hazaña calificó el ataque Krack que hace posible que los usuarios maliciosos para espiar el tráfico Wi-Fi entre ordenadores y otros dispositivos de red como routers y puntos de acceso.
Incluso dos años después de que las vulnerabilidades han sido revelados, muchas Wi-Fi activado los dispositivos estaban siendo vulnerable, incluyendo múltiples dispositivos de Amazon como el ampliamente adoptado Amazon Eco y Amazon Kindle. La enorme base de usuarios de estos dispositivos crea una gran amenaza para la seguridad.
ESET descubrió más tarde que “mientras que la segunda generación de Amazon Eco no se vio afectada por los ataques originales Krack, era vulnerable a una de las variantes Krack, específicamente: PTK reinstalación en 4 vías apretón de manos cuando STA utiliza construcción Temporal PTK, al azar en la anuncia."
Los investigadores también informaron este defecto a Amazon y descubrieron que el malhechor fue el chip Cypress WLAN utiliza en la segunda generación de dispositivos de eco. El chip Cypress WLAN era vulnerable al error del investigador nombrado más adelante Kr00k.
También creen que el KRACK probar los scripts reveló que mediante la activación de una disociación. "Cabe señalar que el cifrado con un cero, todo TK puede tener varias causas - Kr00k es sólo uno de ellos, aunque muy significativa, debido a la amplia distribución de los chips de Broadcom vulnerables y Cypress,”Dijeron los expertos en su informe.
Cisco Actualmente investigar el impacto de sus productos en Kr00k
Una de las últimas noticias con respecto a esta vulnerabilidad es que Cisco está comprobando actualmente el impacto de la vulnerabilidad dentro de sus propios productos. La razón es que la empresa utiliza chips Broadcom en su cartera de productos. Parece que muchos de los dispositivos de la compañía están afectados - una multitud de rejilla y alimentación a través de Ethernet (PoE) enrutadores, productos de firewall, teléfonos IP, y sistemas de punto de acceso.
Cisco también está comprobando el estado de Cisco DX70, DX80, y los teléfonos IP DX650 funcionamiento operativo en el firmware de Android, así como el teléfono IP de Cisco 8861. Los parches están aún por desarrollarse.