Οι ερευνητές της ESET ανακάλυψαν το Kr00k (CVE-2019-15126), μία μέχρι τώρα άγνωστη ευπάθεια σε τσιπ Wi-Fi, που χρησιμοποιούνται σε συσκευές client, Wi-Fi access points και routers.

Η ευπάθεια Kr00k κρυπτογραφεί την επικοινωνία δικτύου μιας μολυσμένης συσκευής με κλειδί κρυπτογράφησης «all-zero», δίνοντας στον κυβερνοεγκληματία τη δυνατότητα να αποκρυπτογραφήσει τα ασύρματα πακέτα δικτύου και να στεφθεί με επιτυχία η επίθεσή του.

Η ανακάλυψη του Kr00k συνδέεται με προηγούμενη έρευνα της ESET για τα κενά ασφαλείας που είχαν εντοπιστεί στο Amazon Echo, που επέτρεπαν επιθέσεις από ευπάθειες KRACK (Key Reinstallation Attack). Το Kr00k σχετίζεται με τις KRACK, ωστόσο εμφανίζει θεμελιώδεις διαφορές. Αναλύοντας τις KRACK, οι ερευνητές της ESET ανακάλυψαν ότι το Kr00k ήταν ένας από τους παράγοντες που ευθυνόταν για την «επανεγκατάσταση» ενός κλειδιού κρυπτογράφησης «all-zero», που παρατηρήθηκε σε δοκιμές για επιθέσεις KRACK. Μετά τη συγκεκριμένη έρευνα, οι περισσότεροι σημαντικοί κατασκευαστές συσκευών κυκλοφόρησαν σχετικά patch.

Το Kr00k είναι ιδιαίτερα επικίνδυνο επειδή έχει επηρεάσει πάνω από ένα δισεκατομμύριο συσκευές με δυνατότητα σύνδεσης σε Wi-Fi, με το νούμερο αυτό να αποτελεί μια συντηρητική εκτίμηση.

Η ESET θα παρουσιάσει δημοσίως την έρευνά της σχετικά με αυτήν την ευπάθεια για πρώτη φορά στις 26 Φεβρουαρίου στο συνέδριο RSA Conference 2020.

Το Kr00k επηρεάζει όλες τις συσκευές με τσιπ Wi-Fi Broadcom και Cypress, που δεν έχουν ενημερωθεί με patch. Πρόκειται για τα πιο κοινά τσιπ Wi-Fi που χρησιμοποιούνται σήμερα στις συσκευές client. Ευάλωτα είναι επίσης και τα Wi-Fi access points και τα routers, που σημαίνει ότι κινδυνεύουν ακόμη και περιβάλλοντα που οι συσκευές client έχουν ενημερωθεί με patch. Η ESET εξέτασε και επιβεβαίωσε ότι μεταξύ των ευάλωτων συσκευών ήταν οι συσκευές client από τις εταιρείες Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3) και Xiaomi (Redmi), καθώς και access points από την Asus και την Huawei. 

Η ESET γνωστοποίησε την ευπάθεια στους κατασκευαστές τσιπ Broadcom και Cypress, οι οποίοι στη συνέχεια κυκλοφόρησαν patch. Η εταιρεία επίσης συνεργάστηκε με το Industry Consortium for Advancement of Security on the Internet (ICASI), προκειμένου να ενημερωθούν για το Kr00k όλοι οι ενδιαφερόμενοι φορείς, τόσο οι κατασκευαστές συσκευών που χρησιμοποιούν τα τσιπ με την ευπάθεια, όσο και άλλοι κατασκευαστές, που πιθανά να επηρεάζονται. Σύμφωνα με τις πληροφορίες που έχει στη διάθεσή της η ESET, οι συσκευές των μεγάλων κατασκευαστών έχουν πλέον ενημερωθεί με τα σχετικά patch. 

«Το Kr00k εμφανίζεται μετά από αποσυνδέσεις από τα Wi-Fi – κάτι που μπορεί να συμβεί πολύ φυσιολογικά, για παράδειγμα εξαιτίας ενός αδύναμου σήματος Wi-Fi ή ακόμη και να προκληθεί από έναν εισβολέα. Αν μια επίθεση είναι επιτυχής, μπορεί να βρεθούν εκτεθειμένα αρκετά kilobytes δυνητικά ευαίσθητων πληροφοριών», εξηγεί ο Miloš Čermák, ο επικεφαλής στις έρευνες ης ESET σχετικά με την  ευπάθεια Kr00k, προσθέτοντας ότι «προκαλώντας επανειλημμένα αποσυνδέσεις, ο επιτιθέμενος μπορεί να συλλέξει ένα σημαντικό αριθμό πακέτων δικτύου με δυνητικά ευαίσθητα δεδομένα».

Σχήμα: Ένας ενεργός εισβολέας μπορεί να προκαλέσει αποσυνδέσεις για να συλλέξει και να αποκρυπτογραφήσει δεδομένα.

pastedGraphic.png

«Για να προστατευθεί ένας χρήστης, θα πρέπει να βεβαιωθεί ότι όλες οι συσκευές με δυνατότητα σύνδεσης σε Wi-Fi, όπως τηλέφωνα, tablet, φορητοί υπολογιστές, έξυπνες συσκευές IoT, Wi-Fi access points and routers, διαθέτουν την πιο πρόσφατη έκδοση ενημέρωσης» συμβουλεύει ο ερευνητής της ESET, Robert Lipovský, που συνεργάζεται με την ομάδα που αναλύει το Kr00k. 

«Προκαλεί ανησυχία το γεγονός ότι η ευπάθεια Kr00k αφορά όχι μόνο τις συσκευές client, αλλά και τα Wi-Fi access points και τα routers. Αυτό αυξάνει σημαντικά το εύρος της επίθεσης, καθώς ένας εισβολέας μπορεί να αποκρυπτογραφήσει τα δεδομένα που μεταδόθηκαν από ένα access point με ευπάθεια, μία λειτουργία που συμβαίνει χωρίς να μπορεί να ελεγχθεί, σε μία συσκευή, ακόμη κι αν αυτή δεν έχει ευπάθειες».

Για περισσότερες τεχνικές λεπτομέρειες σχετικά με το Kr00k, μπορείτε να διαβάσετε το white paper : «Kr00k – CVE-2019-15126 Serious vulnerability deep inside your Wi-Fi encryption» και το σχετικό blogpost στο WeLiveSecurity. Όλες οι τελευταίες εξελίξεις βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.