Alcuni ricercatori di sicurezza informatica hanno scoperto una nuova vulnerabilità di sicurezza derivante da un difetto di progettazione nello standard Wi-Fi IEEE 802.11 che inganna le vittime a connettersi a una rete wireless meno sicura e a spiare il traffico di rete, rendendo i dispositiv esposti ad un attacco di “downgrade”.
Le modalità d’attacco che riguardano questa vulnerabilità sul Wi-Fi
L’attacco SSID Confusion, identificato come CVE-2023-52424, colpisce tutti i sistemi operativi e i client Wi-Fi, inclusi quelli domestici e di rete mesh che si basano su protocolli WEP, WPA3, 802.11X/EAP e AMPE.
Il metodo “coinvolge il declassamento delle vittime a una rete meno sicura falsificando il nome di una rete fidata (SSID) in modo che possano intercettare il loro traffico o effettuare ulteriori attacchi“, ha dichiarato TopVPN, che ha collaborato con il professor e ricercatore Mathy Vanhoef dell’Università KU Leuven.
“Un attacco SSID Confusion riuscito provoca anche la disattivazione automatica di qualsiasi VPN con la funzionalità di auto-disabilitazione su reti fidate, lasciando esposto il traffico della vittima.”
Il problema alla base dell’attacco è il fatto che lo standard Wi-Fi non richiede che il nome della rete (SSID o identificatore del set di servizi) sia sempre autenticato e che le misure di sicurezza siano necessarie solo quando un dispositivo sceglie di connettersi a una particolare rete.
L’effetto netto di questo comportamento è che un aggressore potrebbe ingannare un client a connettersi a una rete Wi-Fi non fidata anziché a quella desiderata, effettuando un attacco di interposizione dell’avversario (AitM).
“Nel nostro attacco, quando la vittima vuole connettersi alla rete TrustedNet, la inganniamo facendola connettere a una rete diversa, WrongNet, che utilizza credenziali simili,” hanno spiegato i ricercatori Héloïse Gollier e Vanhoef. “Di conseguenza, il client della vittima penserà, e mostrerà all’utente, di essere connesso a TrustedNet, mentre in realtà è connesso a WrongNet.”
In altre parole, anche se le password o altre credenziali sono verificate reciprocamente quando ci si connette a una rete Wi-Fi protetta, non c’è garanzia che l’utente si stia connettendo alla rete desiderata.
Ci sono determinati prerequisiti per eseguire con successo l’attacco di declassamento:
- La vittima vuole connettersi a una rete Wi-Fi fidata
- È disponibile una rete rogue con le stesse credenziali di autenticazione della prima
- L’attaccante è entro il raggio per eseguire un AitM tra la vittima e la rete fidata
Le mitigazioni proposte per contrastare SSID Confusion includono un aggiornamento dello standard Wi-Fi 802.11 incorporando l’SSID come parte della handshake a 4 vie durante la connessione alle reti protette, così come miglioramenti alla protezione dei beacon che consentono a un “client [di] memorizzare un beacon di riferimento contenente l’SSID della rete e verificarne l’autenticità durante la handshake a 4 vie.”
I beacon si riferiscono ai frame di gestione che un punto di accesso wireless trasmette periodicamente per annunciare la propria presenza e contengono informazioni come l’SSID, l’intervallo dei beacon e le capacità della rete, tra gli altri.
“Le reti possono mitigare l’attacco evitando il riutilizzo delle credenziali tra gli SSID“, hanno detto i ricercatori. “Le reti aziendali dovrebbero utilizzare nomi comuni distinti per il server RADIUS, mentre le reti domestiche dovrebbero utilizzare una password unica per ogni SSID.“
Le scoperte arrivano circa tre mesi dopo che sono state divulgate due falle di bypass dell’autenticazione nel software Wi-Fi open-source come wpa_supplicant e nel demone wireless Intel’s iNet (IWD) che potrebbero ingannare gli utenti a unirsi a un clone malintenzionato di una rete legittima o consentire a un attaccante di unirsi a una rete fidata senza password.
Lo scorso agosto, Vanhoef ha anche rivelato che il client Windows per Cloudflare WARP potrebbe essere ingannato a rilasciare tutte le richieste DNS, consentendo efficacemente a un avversario di falsificare le risposte DNS e intercettare quasi tutto il traffico.
