CSIRT Panamá Aviso 2017-07 – Ataques Krack (vulnerabilidad en WPA2)
Gravedad: Crítica
Fecha de publicación: 16 octubre 2017
Fecha de modificación: 19 octubre 2017
Última revisión: Revisión A.
Fuente: imec-DistriNet (KU Leuven), CERT-CC, InfoSec Handlers Diary Blog
Sistemas Afectados
Todas las redes inalámbricas utilizando protocolo de seguridad WPA2 (independiente de complejidad de la contraseña). Afectando a marcas como Aruba Networks, Cisco, Fortinet, Inc., Free BSD Project, Intel Corporation, Juniper Networks, Red Hat, Inc., Samsung Mobile, Toshiba Electronic Devices & Storage Corporation, Ubiquiti Networks, ZyXEL, entre otros. Para una lista más larga y detallada revisar “Referencia f” al final del aviso.
I. Descripción
WPA2 (Wi-Fi Protected Access 2) es un protocolo de seguridad desarrollado por la Wi-Fi Alliance para asegurar las redes inalámbricas de computadoras; es la implementación del estándar IEEE 802.11i-2004, disponible a partir del año 2004. El ataque de reinstalación de llave (“Key Reinstallation Attack”), conocido también como KRACK, fué descubierto por Mathy Vanhoef de imec-DistriNet (KU Leuven) y toma ventaja sobre una vulnerabilidad contenida dentro del mismo estándar de Wi-Fi (no depende del producto o implementación), por lo que cualquier implementación de WPA2 es afectada. La vulnerabilidad permite que el tráfico pueda ser manipulado de tal forma que se puede inducir un “nonce” (número aleatorio de uso único en la comunicación criptográfica) y la reutilización de llaves de sesión.
Android y Linux
El ataque desarrollado por el investigador Mathy Vanhoef es especialmente catastrófico contra la versión 2.4 y superior de wpa_supplicant, un cliente de Wi-Fi comúnmente utilizado en Linux. En este caso el equipo cliente instalará una llave de cifrado de puros ceros (all-zero encryption key) en vez de reinstalar la llave de cifrado verdadera. Debido a que Android utiliza wpa_supplicant, la versión de Android 6.0 y superior también es vulnerable, lo que hace que aproximadamente el 41% de los dispositivos Android sean vulnerables a una variante del ataque, permitiendo a un atacante interceptar y manipular el tráfico enviado entre dispositivos Android y Linux. Vanhoef desarrolló el documento de investigación (Referencia g) que se encontraba en revisión el 19 de mayo de 2017, por lo que ahora meses después de su trabajo inicial ha desarrollado ataques que permiten con mayor facilidad tomar ventaja sobre macOS y OpenBSD también.
Recomendaciones
– Realizar el respectivo parche en los dispositivos utilizados tan pronto se encuentre disponible.
– Implementar capas adicionales de seguridad como el uso de SSL/IPSec (*).
– Utilizar redes cableadas de ser posible.
(*)Tomar en cuenta que el uso de HTTPS no garantiza seguridad absoluta puesto que existen ataques contra dicho protocolo, sin embargo es importante establecer la mayor cantidad de capas de protección posibles para frustrar un ataque o intrusión.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la red WPA2.
III. Referencia a soluciones, herramientas e información
a. https://www.krackattacks.com
b. https://isc.sans.edu/diary/rss/22932
d. https://www.kb.cert.org/vuls/id/228519/
e. https://www.us-cert.gov/ncas/current-activity/2017/10/16/CERTCC-Reports-WPA2-Vulnerabilities
f. https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
g. https://papers.mathyvanhoef.com/ccs2017.pdf
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa