Vulnerabilidad en el protocolo WiFi permite a los atacantes secuestrar el tráfico de red

Investigadores de seguridad cibernética han descubierto una vulnerabilidad de seguridad fundamental en el diseño del estándar del protocolo WiFi IEEE 802.11. La vulnerabilidad permite a los atacantes engañar a los puntos de acceso para filtrar tramas de red en forma de texto plano.

Las tramas WiFi son contenedores de datos que constan de un encabezado, un payload de datos y un tráiler, que incluyen información como la dirección MAC de origen y destino, y los datos de control y administración.

Estas tramas se ordenan en colas y se transmiten de forma controlada para evitar colisiones y maximizar el rendimiento del intercambio de datos al monitorear los estados ocupado/inactivo de los puntos de recepción.

Los investigadores descubrieron que las tramas en cola/búfer no están adecuadamente protegidas de los adversarios. En otras palabras, estos pueden manipular la transmisión de datos, suplantar la identidad del cliente, redireccionar y capturar tramas.

“Nuestros ataques tienen un impacto generalizado ya que afectan a varios dispositivos y sistemas operativos (Linux, FreeBSD, iOS y Android) y porque pueden ser utilizados para secuestrar conexiones TCP o interceptar tráfico web y de clientes”.

Afirmación realizada en el documento técnico publicado ayer por Domien Schepers y Aanjhan Ranganathan de la Universidad Northeastern, y Mathy Vanhoef de imec-DistriNet, KU Leuven.

Detalles de la vulnerabilidad

El estándar IEEE 802.11 incluye mecanismos de ahorro de energía que permiten que los dispositivos WiFi conserven energía al almacenar en búfer o poner en cola tramas destinadas a dispositivos inactivos.

Cuando una estación cliente (dispositivo receptor) entra en modo de suspensión, envía una trama al punto de acceso con un encabezado que contiene el bit de ahorro de energía. Por lo tanto, todas las tramas destinadas a ella se ponen en cola.

Sin embargo, el estándar no proporciona una guía explícita sobre la gestión de la seguridad de estas tramas en cola y no establece limitaciones como cuánto tiempo pueden permanecer las tramas en este estado.

Una vez que la estación del cliente se activa, el punto de acceso saca de la cola las tramas almacenadas en el búfer, aplica el cifrado y las transmite al destino.

Un atacante puede falsificar la dirección MAC de un dispositivo en la red y enviar tramas de ahorro de energía a los puntos de acceso, obligándolos a comenzar a poner en cola las tramas destinadas al objetivo. Luego, el atacante transmite una trama de activación para recuperar el conjunto de tramas.

Las tramas transmitidas generalmente se encriptan usando la clave de cifrado de dirección de grupo, compartida entre todos los dispositivos en la red WiFi, o una clave de cifrado por pares. Esta es única para cada dispositivo y se usa para encriptar las tramas intercambiadas entre dos dispositivos.

Sin embargo, el atacante puede cambiar el contexto de seguridad de las tramas enviando tramas de autenticación y asociación al punto de acceso. Es decir,  así obliga a transmitir las tramas en forma de texto plano o encriptarlas con una clave proporcionada por el atacante.

Explotación

Este ataque es posible utilizando herramientas personalizadas creadas por los investigadores llamadas MacStealer. Las herramientas pueden probar las redes WiFi para eludir el aislamiento del cliente e interceptar el tráfico destinado a otros clientes en la capa MAC.

Los investigadores reportaron que se sabe que los modelos de dispositivos de red de Lancom, Aruba, Cisco, Asus y D-Link se ven afectados por estos ataques. No obstante, puedes ver la lista completa a continuación: 

Los investigadores advierten que estos ataques podrían usarse para inyectar contenido malicioso, como JavaScript, en paquetes TCP.

“Un adversario puede usar su propio servidor conectado a Internet para inyectar datos en esta conexión TCP al inyectar paquetes TCP fuera de ruta con una dirección IP de remitente falsificada”.

“Esto puede, por ejemplo, explotarse para enviar código JavaScript malicioso a la víctima en conexiones HTTP de texto plano con el objetivo de explotar vulnerabilidades en el navegador del cliente”. 

Advertencia de los investigadores

Si bien este ataque también podría usarse para espiar el tráfico, dado que la mayoría del tráfico web está cifrado mediante TLS, el impacto sería limitado.

Los detalles técnicos y la investigación están disponibles en  el documento USENIX Security 2023. El documento  se presentará en la próxima conferencia BlackHat Asia el 12 de mayo de 2023.

Cisco reconoce vulnerabilidad

El primer proveedor en reconocer el impacto de la vulnerabilidad del protocolo WiFi es Cisco. Cisco admitió que los ataques descritos en el documento pueden tener éxito contra los productos Cisco Wireless Access Point y los productos Cisco Meraki con capacidades inalámbricas.

Sin embargo, Cisco cree que es poco probable que las tramas recuperadas pongan en peligro la seguridad general de una red debidamente protegida.

“Este ataque es visto como un ataque oportunista, y la información obtenida por el atacante tendría un valor mínimo en una red configurada de forma segura”.

-Cisco.

Aún así, la firma recomienda aplicar medidas de mitigación como el uso de mecanismos de aplicación de políticas a través de un sistema como Cisco Identity Services Engine (ISE), que puede restringir el acceso a la red mediante la implementación de tecnologías Cisco TrustSec o Software Defined Access (SDA).

“Cisco también recomienda implementar la seguridad de la capa de transporte para cifrar los datos en tránsito siempre que sea posible, ya que los datos adquiridos serían inutilizables para el atacante”.  Aviso de seguridad de Cisco .

Actualmente, no hay casos conocidos de uso malicioso de la vulnerabilidad descubierta por los investigadores.