Há uma nova significativa vulnerabilidade afetando uma ampla gama de produtos. apelidado Kr00k (CVE-2019-15126), a vulnerabilidade pode ser explorada para interceptar e tráfego de rede WiFi descriptografar depender de conexões WPA2.
A falha CVE-2019-15126 foi revelada durante a RSA 2020 conferência de segurança em San Francisco por pesquisadores da ESET.
CVE-2019-15126: Vulnerabilidade Kr00k Explicada
Os pesquisadores dizem que Kr00k, ou CVE-2019-15126, afeta todos os dispositivos Wi-Fi capaz que utilizam Broadcom and chips Cypress Wi-Fi, ou dois dos mais populares e amplamente utilizados, tais chipsets. Esses chips são usados em praticamente qualquer dispositivo, tais como smartphones, laptops, dispositivos da Internet das coisas, etc.
De acordo com o ESET, a vulnerabilidade Kr00k afeta dispositivos da Amazon (eco Kindle), maçã (Iphone, iPad, MacBook), Google (Nexo), Samsung (Galáxia), Framboesa (Pi 3) e Xiaomi (redmi), mas também pontos de acesso da Asus e Huawei. Parece que mais de um bilhão de dispositivos são propensas à vulnerabilidade, e este número é um “estimativa conservadora”.
O que torna diferente Kr00k de vulnerabilidades similares?
tecnicamente, a falha não é muito diferente do que outras falhas divulgados numa base diária. Contudo, o que torna este um mais complexo, único e perigoso é o fato de que ela afeta a criptografia que protege os pacotes de dados enviados através de conexões WiFi.
Em uma situação típica, Estes pacotes são criptografados através de uma chave única que está associado com a senha Wi-Fi do usuário. Contudo, parece que em Broadcom e Cypress Wi-Fi chipsets esta chave é reposto para um valor de todo-zero durante um processo específico conhecido como dissociação.
Dissociação é um “processo natural” em uma conexão Wi-Fi, pois decorre de uma desconexão que pode acontecer como resultado de um sinal de baixa. Os dispositivos sem fios podem estar em estados dissociados várias vezes por dia, e eles podem ligar-se automaticamente à rede anterior.
O problema com a vulnerabilidade Kr00k é que os atores de ameaças pode forçar dispositivos para entrar em um estado dissociado prolongada para receber pacotes de WiFi específicos, e, em seguida, implantar o bug para descriptografar o tráfego através da tecla zerada.
Vale ressaltar que os pesquisadores descobriram Kr00k enquanto eles estavam “KRACKing Amazon Eco”. As vulnerabilidades krack foram descobertos em 2017 quando os pesquisadores desenvolveram uma perigosa exploit chamado Ataque Krack que torna possível para os usuários mal-intencionados para espionar o tráfego Wi-Fi entre computadores e outros dispositivos de rede como roteadores e pontos de acesso.
Mesmo dois anos depois foram divulgadas as vulnerabilidades, muitos Wi-Fi habilitado dispositivos ainda eram vulneráveis, incluindo vários dispositivos, tais como o Amazon amplamente adoptada Amazon Eco e Kindle. A enorme base de usuários desses dispositivos criou uma grande ameaça à segurança.
ESET descobriu mais tarde que “enquanto a segunda geração Amazon Eco não foi afetada pelos ataques Krack originais, era vulnerável a uma das variantes Krack, especificamente: PTK reinstalação no 4-way handshake quando STA usa construção Temporal PTK, aleatória na anuncia.”
Os investigadores também relataram esta falha para Amazon e descobriu que o infractor foi o chip Cypress WLAN utilizado na segunda geração de dispositivos de eco. O chip Cypress WLAN era vulnerável ao erro o pesquisador nomeado mais tarde Kr00k.
Eles também acreditam que a Krack testar roteiros revelado pelo desencadeamento de uma dissociação. “Deve-se notar que a criptografia com um TK todo-zero pode ter várias causas - Kr00k é apenas um deles, embora muito significativo, devido à ampla distribuição dos vulneráveis chips da Broadcom e Cypress,”Dizem os especialistas em seu relatório.
Cisco investigando o impacto da Kr00k em seus produtos
Uma das últimas notícias sobre esta vulnerabilidade é que a Cisco está a verificar o impacto da vulnerabilidade dentro de seus próprios produtos. A razão é que a empresa usa chips da Broadcom em seu portfólio de produtos. Parece que muitos dos dispositivos da empresa são afetados - uma multidão de grade e Power over Ethernet (PoE) routers, produtos de firewall, telefones IP, e sistemas de ponto de acesso.
A Cisco também está verificando o estado da Cisco DX70, DX80, e telefones DX650 IP operacional em execução no firmware Android, bem como o telefone IP da Cisco 8861. Patches estão ainda a ser desenvolvido.