Perché le reti WiFi sono improvvisamente diventate insicure anche con WPA2 e WPA3

Nei giorni scorsi abbiamo pubblicato la notizia della scoperta di una dozzina di vulnerabilità che affliggono tutte le reti WiFi e i dispositivi che adoperiamo ogni giorno. Nel loro complesso sono state battezzate FragAttacks.

Non c’è alcun sensazionalismo: l’autore della ricerca è Mathy Vanhoef, già noto per aver individuato alcune tra le più gravi vulnerabilità negli standard per le reti WiFi da quando esiste la Wi-Fi Alliance ovvero l’organizzazione che si occupa della loro progettazione e promozione oltre che della certificazione dei dispositivi compatibili.

Ci siamo voluti prendere qualche giorno per esaminare quanto Vanhoef ha portato all’attenzione pubblica e il quadro che ne scaturisce è stavolta davvero preoccupante.
Il ricercatore ha infatti evidenziato sia problematiche che riguardano il design degli standard per il WiFi sia gravi difetti di implementazione. Se le prime sono piuttosto complesse da sfruttare, i secondi possono essere immediatamente sfruttati da qualunque malintenzionato.

Il fatto che l’aggressore debba trovarsi nel raggio di copertura della rete WiFi non può essere in alcun modo un fattore tranquillizzante. Le conseguenze dell’attacco alle reti WiFi possono essere drammatiche favorendo attacchi phishing, permettendo la sottrazione di informazioni personali e dati sensibili, consentendo l’esecuzione di codice dannoso.

Mentre nei giorni scorsi abbiamo presentato le vulnerabilità FragAttacks offrendo una visione d’insieme sulla problematica, questa volta scendiamo più nei dettagli e presentiamo alcuni esempi di possibili attacchi.

Senza conoscere la password della WiFi alla quale sono connessi gli altrui dispositivi, un aggressore che sfruttasse FragAttacks potrebbe compiere alcune operazioni che fino ad oggi si ritenevano impossibili.

1) Attacco phishing per registrare le credenziali di accesso delle vittime
Dopo aver configurato un server web e un server DNS l’aggressore può eseguire uno script che in ingresso riceve l’SSID ovvero l’identificativo della rete WiFi da aggredire e il MAC address del dispositivo usato da un utente collegato al network. Tale informazione è facilmente recuperabile.

Lo strumento software usato per l’attacco individua la WiFi della vittima e ne effettua la clonazione di un altro canale di comunicazione.
Il clone della rete WiFi legittima permette all’aggressore di modificare i frame crittografati e abusare della falla in termini di design presente nello standard.

Quando la vittima attiverà la connessione WiFi si collegherà con l’access point malevolo creato dall’utente malintenzionato.
Inviando ad esempio un’email contenente un riferimento a un’immagine sul server dell’aggressore, questi può automaticamente inviare come risposta un pacchetto dati TCP congegnato per provocare l’utilizzo di un server DNS arbitrario.
A causa dei frame di rete modificati ad arte la vittima non si accorgerà di usare un DNS diverso da quello abituale e, ad esempio, effettuerà il login su copie di siti web legittimi predisposti sul suo server web dall’aggressore. Quest’ultimo. eseguendo un software per lo sniffing dei pacchetti dati come WireShark, potrà leggere le credenziali della vittima e impossessarsene.

Nella sua dimostrazione Vanhoef ha utilizzato una pagina HTTP che ricalca il form di login di un sito legittimo.

Di norma non è possibile iniettare frame come quelli usati da Vanhoef su una normale connessione TCP. Ciò è stato possibile proprio sfruttando le vulnerabilità di design del WiFi.

2) Gestire da remoto un dispositivo smart/IoT
Problematiche di implementazione del WiFi molto diffuse hanno permesso a Vanhoef di assumere il controllo di dispositivi collegati alle reti wireless altrui.
Si pensi a un dispositivo smart o comunque appartenente al mondo dell’Internet delle Cose che può essere acceso, spento e amministrato a distanza senza averne alcun diritto.

Senza conoscere la password della WiFi un aggressore può rilevare i dispositivi smart in uso esaminando i vari MAC address esposti.

L’utente malintenzionato può quindi iniettare pacchetti dati malevoli sulla WiFi e dialogare con dispositivi collegati alla LAN che normalmente non potrebbero essere raggiungibili dall’esterno.

3) Superare il firewall e connettersi a dispositivi che non sono esposti sulla rete Internet
Sempre facendo leva sulle vulnerabilità in termini di implementazione dello standard WiFi è possibile superare il firewall del router modificandone la configurazione e aprendo la rete altrui ai tentativi di connessione provenienti da host remoti sulla porta WAN.

Anche in questo caso l’aggressore può iniettare un frame di rete come plaintext (in chiaro, senza usare alcuna forma di cifratura). Esso apparirà come un messaggio di handshake scambiato quando un dispositivo tenta di collegarsi alla WiFi (EAPOL handshake).

Il fatto è che il dispositivo WiFi vulnerabile non soltanto prende per buono il frame malevolo ma utilizza le informazioni TCP in esso contenute per aprire il firewall e consentire l’accesso da remoto.

A questo punto il gioco è fatto perché l’aggressore può stabilire la connessione con qualunque componente server installato in rete locale o sfruttare vulnerabilità irrisolte (ad esempio perché gli utenti non hanno installato le patch di sicurezza) presenti nei vari sistemi operativi.

Come proteggersi da FragAttacks

Riassumiamo di seguito alcuni passaggi che aiutano a proteggere le reti WiFi da FragAttacks.
Va detto, come sottolineato da Vanhoef, che i suoi script non sono stati pubblicati e quindi al momento non esiste una minaccia imminente. Il problema potrebbe però presentarsi quando, dopo agosto prossimo, il ricercatore avrà fornito maggiori dettagli sulle sue scoperte, soprattutto nel caso in cui i vari produttori hardware non si saranno attivati per distribuire patch correttive sui rispettivi dispositivi WiFi.

Per proteggersi suggeriamo di:

– Aggiornare il firmware di router, access point, ripetitori, sistemi mesh ma anche di qualunque dispositivo client che supporta il WiFi.
– Verificare se i produttori stanno lavorando su patch utili per correggere i problemi derivanti da FragAttacks o se hanno già pubblicato i loro aggiornamenti.
– Assegnare sempre credenziali solide (non accettando username e password predefiniti) ai dispositivi collegati in rete locali. Non soltanto ai dispositivi WiFi ma anche a quelli connessi mediante cavo Ethernet.
– Verificare sempre l’utilizzo di siti HTTPS e abilitare il protocollo DoH (DNS-over-HTTPS) lato browser sui singoli client in modo da evitare attacchi MITM (man-in-the-middle) come quelli descritti.
– Installare sempre le patch di sicurezza su tutti i dispositivi collegati alla LAN e proteggere l’accesso alle risorse condivise in rete locale usando sempre nomi utente e password difficili da “indovinare”.