東北大學的網絡安全研究人員在IEEE 802.11無線局域網協議標準中發現了一個設計漏洞，攻擊者可欺騙接入點以明文形式泄漏網絡幀。

WLAN幀是由標頭、數據有效負載和尾部組成的數據容器，其中包括源和目標MAC地址、控制和管理數據等信息。這些幀按隊列排序受控傳輸，以避免碰撞沖突，并通過監視接收點的忙/閑狀態來最大化數據交換性能。

研究人員發現，排隊/緩沖的幀缺乏安全保護機制，攻擊者可以操縱數據傳輸、客戶端欺騙、幀重定向和捕獲。

“該缺陷可以用來劫持TCP連接或攔截客戶端Web流量，影響范圍極大，包括各種設備和操作系統（Linux，FreeBSD，iOS和Android）”東北大學的Domien Schepers和Aanjhan Ranganathan以及imec-DistriNet的Mathy Vanhoef在昨天發表的技術論文中寫道。

省電不省心

IEEE 802.11標準包括節能機制，允許WiFi設備將發往休眠設備的幀進行緩沖或排隊，以此來節省電力。

當客戶端站（接收設備）進入休眠模式時，它會向接入點發送一個帶有包含節能標頭的幀，此后所有發往它的幀都將排隊。客戶端站喚醒后，接入點會取消緩沖幀的排隊，對其加密后傳輸到目標。

但是，該標準沒有提供有關管理這些排隊幀的明確安全規范，也沒有設置限制，例如緩沖幀可以在此狀態下停留多長時間。

攻擊者可以假冒聯網設備的MAC地址，并將節能幀發送到接入點，將發往目標的幀排入隊列。然后，攻擊者發送喚醒幀以獲取排隊幀堆棧。

傳輸的幀通常使用組尋址加密密鑰（在WiFi網絡中的所有設備之間共享）或成對加密密鑰進行加密，該密鑰對于每個設備是唯一的，用于加密兩個設備之間交換的幀。

但是，攻擊者可以通過向接入點發送身份驗證和關聯幀來更改幀的安全上下文，從而強制其以明文形式傳輸幀或使用攻擊者提供的密鑰對其進行加密。

實施該攻擊需要使用研究人員開發的名為MacStealer的自定義工具，該工具可以測試WiFi網絡的客戶端隔離繞過，并在MAC層攔截發往其他客戶端的流量。

研究人員報告說，Lancom、Aruba、思科、華碩和D-Link的以下網絡設備產品受到這些攻擊的影響，完整列表如下：

研究人員警告說，該攻擊可被用來將JavaScript等惡意內容注入TCP數據包。

“攻擊者可以使用自己的互聯網連接服務器，通過假冒發件人IP地址的路徑外TCP數據包將數據注入TCP連接，”研究人員警告說：“這可以被濫用，以明文HTTP連接向受害者發送惡意JavaScript代碼，目的是利用客戶端瀏覽器中的漏洞。”

雖然這種攻擊也可以用來窺探流量，但由于大多數網絡流量都是使用TLS加密的，因此影響有限。

該攻擊的技術細節可在USENIX Security 2023論文中找到（鏈接在文末），該論文將在今年五月份的BlackHat Asia大會上發表。

思科承認中招

首個承認受WLAN協議漏洞影響的廠商是思科，它承認論文中的攻擊可能適用于思科無線接入點產品和具有無線功能的Meraki產品。

但思科認為，檢索到的幀不太可能危及安全防護得當的網絡的整體安全性。

“這種攻擊被視為機會主義攻擊，攻擊者獲得的信息在安全配置的網絡中價值不是很高。”

話雖如此，但思科仍建議采取緩解措施，例如通過思科身份服務引擎（ISE）等系統使用策略執行機制，該系統可以通過實施思科TrustSec或軟件定義訪問（SDA）技術來限制網絡訪問。

思科還建議“實施傳輸層安全性，以盡可能加密傳輸中的數據，因為這會使攻擊者無法使用獲取的數據。”思科安全公告中寫道。

參考鏈接：

https://papers.mathyvanhoef.com/usenix2023-wifi.pdf