ISN 2021-02: IGEL OS- und W10-WLAN-Schwachstellen
Erstveröffentlichung 21. Mai 2021
CVSS 3.1-Punktzahl: 5.0 (Mittel)
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
Mehrere Wi-Fi-Schwachstellen, zusammenfassend als Fragattacks bekannt, betreffen die folgenden IGEL-Produkte:
- IGEL OS 11
- IGEL OS 10
- IGEL W10 IoT
Details
Der Forscher Mathy Vanhoef hat mehrere Sicherheitslücken sowohl in den IEEE 802.11-Standards, die dem WLAN zugrunde liegen, als auch in deren Implementierungen in Linux und Windows gefunden. Er hat gezeigt, dass Schwächen in den Fragmentierungs- und Frame-Aggregationsmechanismen missbraucht werden können, um vertrauliche Daten aus einer geschützten Wi-Fi-Verbindung zwischen einem Client und dem Access Point zu extrahieren oder Frames in diese einzuschleusen.
In der IGEL-Software werden diese Bedrohungen gemildert, da TLS für die Endpunktverwaltung über UMS und ICG verwendet wird. Außerdem werden IGEL OS-Updates kryptografisch signiert und validiert. Dies spiegelt sich in der CVSS 3.1-Bewertung dieser Probleme von IGEL wider.
Dieser Gruppe von Schwachstellen wurden mehrere CVE-Kennungen zugewiesen:
Designfehler:
CVE-2020-24588: Aggregationsangriff (Akzeptieren von Nicht-SPP-A-MSDU-Frames)
CVE-2020-24587: Mixed-Key-Angriff (Wiederzusammensetzen von unter verschiedenen Schlüsseln verschlüsselten Fragmenten)
CVE-2020-24586: Fragment-Cache-Angriff (keine Fragmente aus dem Speicher löschen, wenn (wieder) eine Verbindung zu einem Netzwerk hergestellt wird)
Implementierungsschwachstellen, die das triviale Einschleusen von Klartext-Frames in ein geschütztes Wi-Fi-Netzwerk ermöglichen, werden den folgenden CVEs zugewiesen:
CVE-2020-26140: Akzeptieren von Klartext-Datenrahmen in einem geschützten Netzwerk
CVE-2020-26143: Akzeptieren fragmentierter Klartext-Datenrahmen in einem geschützten Netzwerk
Anderen Implementierungsfehlern werden die folgenden CVEs zugeordnet:
CVE-2020-26147: Wiederzusammensetzen von gemischten verschlüsselten/Klartext-Fragmenten
CVE-2020-26141: Das TKIP MIC von fragmentierten Frames wird nicht überprüft.
Update-Anleitung
Feste Versionen sind in Vorbereitung.
Mitigations
Ersetzen Sie nach Möglichkeit Wi-Fi-Verbindungen durch kabelgebundenes Ethernet.
Der Melder dieser Sicherheitslücken empfiehlt die folgenden Maßnahmen, bis Fixes verfügbar sind:
- Verwenden Sie HTTPS/TLS ausschließlich für Websites, um vertrauliche Informationen wie Benutzernamen und Passwörter zusätzlich zu schützen.
- Halten Sie Ihre WLAN-Zugangspunkte mit der neuesten Firmware-Version auf dem neuesten Stand.
- Reduzieren Sie die Auswirkungen von Angriffen, indem Sie Ihren DNS-Server manuell so konfigurieren, dass er nicht vergiftet werden kann.
- Speziell für Ihre Wi-Fi-Konfiguration können Sie Angriffe abwehren (aber nicht vollständig verhindern), indem Sie die Fragmentierung deaktivieren, paarweise erneute Schlüssel deaktivieren und die dynamische Fragmentierung in Wi-Fi 6 (802.11ax)-Geräten deaktivieren.
Referenzen
https://www.fragattacks.com
Mathy Vanhoef, „Fragment and Forge: Breaking Wi-Fi Through Frame Aggregation and Fragmentation“: https://papers.mathyvanhoef.com/usenix2021.pdf