Il y a une nouvelle vulnérabilité importante affectant une large gamme de produits. surnommé Kr00k (CVE-2019-15126), la vulnérabilité peut être exploitée pour intercepter et décrypter le trafic réseau WiFi reposant sur les connexions WPA2.
La faille CVE-2019-15126 a été révélé au cours de la RSA 2020 conférence sur la sécurité à San Francisco par des chercheurs ESET.
CVE-2019-15126: Kr00k vulnérabilité Explained
Les chercheurs disent que Kr00k, ou CVE-2019-15126, pour tous les appareils Wi-Fi compatibles qui utilisent Broadcom et puces Wi-Fi Cypress, ou deux des plus populaires et largement utilisés tels chipsets. Ces puces sont utilisées dans presque tous les appareils, tels que les smartphones, ordinateurs portables, dispositifs IdO, etc.
Selon ESET, la vulnérabilité Kr00k affecte les périphériques d'Amazon (Echo Kindle), Pomme (iPhone, iPad, MacBook), Google (Lien), Samsung (Galaxie), Framboise (Pi 3) et Xiaomi (redmi), mais aussi des points d'accès d'Asus et Huawei. Il semble que plus d'un milliard d'appareils sont sujettes à la vulnérabilité, et ce nombre est un «estimation prudente".
Ce qui rend Kr00k différent de vulnérabilités similaires?
Techniquement, le défaut est pas très différent que d'autres défauts divulgués sur une base quotidienne. Cependant, ce qui rend celui-ci plus complexe, unique et dangereux est le fait que son impact le cryptage qui assure des paquets de données envoyés via des connexions WiFi.
Dans une situation typique, ces paquets sont cryptés par une clé unique qui est associée à mot de passe Wi-Fi de l'utilisateur. Cependant, il apparaît que dans Broadcom et Wi-Fi Cypress chipsets cette clé est remis à un au cours d'un processus spécifique valeur tout zéro connu sous le nom désolidarisation.
Dissociation est un « processus naturel » dans une connexion Wi-Fi, comme il résulte d'une déconnexion qui peut se produire à la suite d'un signal bas. Les appareils sans fil peuvent être dans des états dissociées plusieurs fois par jour, et ils peuvent se reconnecter automatiquement au réseau précédent.
Le problème avec la vulnérabilité Kr00k est que les acteurs de la menace peut forcer les dispositifs à entrer dans un état dissociées prolongé pour recevoir des paquets spécifiques WiFi, puis déployer le bug pour décrypter le trafic via la touche mise à zéro.
Il est à noter que les chercheurs ont découvert Kr00k alors qu'ils étaient «KRACKing Amazon Echo". Les vulnérabilités de Krack ont été découverts dans 2017 lorsque les chercheurs ont conçu un dangereux exploit appelé l'attaque Krack qui permet aux utilisateurs malveillants d'espionner le trafic Wi-Fi entre les ordinateurs et autres périphériques réseau tels que les routeurs et points d'accès.
Même deux ans après les vulnérabilités ont été divulgués, beaucoup Wi-Fi a permis appareils étaient encore vulnérables, y compris plusieurs périphériques Amazon tels que l'Amazone Echo largement adopté et le Kindle d'Amazon. L'énorme base d'utilisateurs de ces appareils a créé une grande menace pour la sécurité.
plus tard, ESET a découvert que «tandis que Amazon Echo la deuxième génération n'a pas été affectée par les attaques de Krack d'origine, il était vulnérable à l'une des variantes de Krack, spécifiquement: PTK dans la réinstallation 4-way handshake lorsque STA utilise la construction temporelle PTK, aléatoire annonce."
Les chercheurs ont également signalé ce défaut à Amazon et a découvert que le malfaiteur a été la puce WLAN Cypress utilisé dans la deuxième génération de dispositifs Echo. La puce Cypress WLAN était vulnérable au bogue du chercheur nommé plus tard Kr00k.
Ils croient aussi que les scripts test KRACK révélé par le déclenchement d'une désolidarisation. "Il convient de noter que le chiffrement avec un TK tout zéro peut avoir plusieurs causes - Kr00k est juste l'un d'eux, bien qu'une très importante, en raison de la large diffusion des puces Broadcom vulnérables et Cypress,» Les experts ont dit dans leur rapport.
Cisco enquêtent actuellement sur l'impact des Kr00k dans ses produits
Une des dernières nouvelles au sujet de cette vulnérabilité est que Cisco vérifie actuellement l'impact de la vulnérabilité dans ses propres produits. La raison en est que la société utilise des puces Broadcom dans leur portefeuille de produits. Il semble que de nombreux périphériques de l'entreprise sont touchés - une multitude de réseau et Power over Ethernet (PoE) routeurs, produits pare-feu, téléphones IP, et les systèmes de point d'accès.
Cisco vérifie également l'état de Cisco DX70, DX80, et DX650 téléphones IP en cours d'exécution fonctionnant sur le firmware Android, ainsi que le téléphone IP Cisco 8861. Les patchs sont encore à développer.