Er is een nieuwe belangrijke kwetsbaarheid gevolgen voor een breed scala aan producten. Dubbed Kr00k (CVE-2019-15.126), de kwetsbaarheid kan worden benut om te onderscheppen en decoderen van WiFi-netwerk verkeer te vertrouwen op WPA2-verbindingen.
De CVE-2019-15126 fout werd beschreven in de RSA 2020 security conferentie in San Francisco door ESET onderzoekers.
CVE-2019-15.126: Kr00k Vulnerability Explained
De onderzoekers zeggen dat Kr00k, of CVE-2019-15126, beïnvloedt alle Wi-Fi-compatibele apparaten die Broadcom benutten en Cypress Wi-Fi-chips, of twee van de meest populaire en meest gebruikte dergelijke chipsets. Deze chips worden gebruikt in bijna elk apparaat, zoals smartphones, laptops, ivd-apparaten, etc.
Volgens ESET, de Kr00k beveiligingslek treft apparaten van Amazon (Echo Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (heelal), Framboos (Pi 3) en Xiaomi (redmi), maar ook access points van Asus en Huawei. Het lijkt erop dat meer dan een miljard apparaten zijn gevoelig voor de kwetsbaarheid, en dit aantal is een “conservatieve schatting".
Wat maakt Kr00k anders dan vergelijkbare kwetsbaarheden?
Technisch gezien, de fout is niet veel anders dan andere gebreken bekendgemaakt op een dagelijkse basis. Echter, wat maakt dit een meer complexe, unieke en gevaarlijk is het feit dat het invloed op de codering die datapakketten beveiligt verzonden over WiFi-verbindingen.
In een typische situatie, deze pakketten versleuteld zijn met een unieke sleutel die behoort bij WiFi wachtwoord van de gebruiker. Echter, Het blijkt dat in Broadcom en Cypress Wi-Fi-chipsets op deze toets wordt teruggezet op een all-zero waarde gedurende een specifiek proces dat bekend staat als dissociatie.
Dissociatie is een “natuurlijk proces” in een Wi-Fi-verbinding, zoals die voortvloeien uit een ontkoppeling wat kan gebeuren als gevolg van een lage signaal. Draadloze apparaten kunnen in los van elkaar staten meerdere keren per dag, en ze kunnen automatisch opnieuw naar het vorige netwerk.
Het probleem met de Kr00k kwetsbaarheid is die dreiging actoren apparaten dwingen een langdurige losgekoppeld toestand te komen aan specifieke WiFi-pakketten ontvangen, en vervolgens implementeren van de bug om het verkeer te decoderen via het gevuld was met null-toets.
Het is opmerkelijk dat de onderzoekers ontdekten Kr00k terwijl ze “Kracking Amazon Echo". De KRACK kwetsbaarheden werden ontdekt in 2017 toen de onderzoekers ontworpen een gevaarlijke exploit genaamd de Krack aanval die het mogelijk voor kwaadwillende gebruikers maakt afluisteren Wi-Fi-verkeer tussen computers en andere netwerkapparatuur zoals routers en access points.
Zelfs twee jaar na de zwakke plekken zijn niet bekendgemaakt, veel Wi-Fi-apparaten waren nog steeds kwetsbaar, waaronder meerdere Amazon apparaten zoals de algemeen aanvaarde Amazon Echo en Amazon Kindle. De enorme userbase van deze apparaten creëerde een grote bedreiging voor de veiligheid.
ESET later ontdekte dat “terwijl de tweede generatie Amazon Echo niet beïnvloed werd door de oorspronkelijke KRACK aanslagen, het was kwetsbaar voor een van de KRACK varianten, in het bijzonder: PTK herinstallatie in 4-way handshake bij STA Temporal PTK constructie, willekeurige in kondigt."
De onderzoekers ook gemeld deze fout om Amazon en ontdekte dat de dader was de Cypress WLAN chip die gebruikt wordt in de tweede generatie van de Echo-apparaten. De Cypress WLAN chip was kwetsbaar voor de bug de onderzoeker later genoemd Kr00k.
Ze geloven ook dat de KRACK testscripts onthuld door wat leidde tot een dissociatie. "Opgemerkt dient te worden dat de versleuteling met een all-zero TK aantal oorzaken kan hebben - Kr00k is slechts een van hen, hoewel een zeer belangrijke één, vanwege de brede verspreiding van de kwetsbare Broadcom en Cypress chips,”De deskundigen zei in hun rapport.
Cisco momenteel onderzoek naar de impact van Kr00k in zijn producten
Een van het laatste nieuws over dit beveiligingslek is dat Cisco momenteel de impact van de kwetsbaarheid binnen haar eigen producten is het controleren. De reden is dat het bedrijf maakt gebruik van Broadcom chips in hun product portfolio. Het lijkt erop dat veel van de apparaten van het bedrijf worden beïnvloed - een veelheid van raster en Power over Ethernet (PoE) routers, firewallproducten, IP-telefoons, en access point systemen.
Cisco ook controleren de toestand van Cisco DX70, DX80, en DX650 IP-telefoons met werken op Android firmware, evenals de Cisco IP-telefoon 8861. Patches zijn nog te ontwikkelen.