網絡安全研究人員近日在 IEEE 802.11 WiFi 協議標準的設計中發現了一個基本的安全漏洞，這個漏洞讓攻擊者可以誘騙接入點泄露明文格式的網絡幀。

　　WiFi 網絡幀如同數據容器，由報頭、數據載荷和報尾組成，含有源和目的地 MAC 地址、控制和管理數據之類的信息。

　　這些幀在隊列中排序，在受控制的材料中傳輸以免碰撞，并通過密切關注接收端的繁忙 / 空閑狀態來最大限度地提升數據交換性能。

　　研究人員發現，隊列 / 緩沖幀并沒有得到充分的保護，攻擊者可以采取多種手段：操控數據傳輸、客戶端欺騙、幀重定向和捕獲。

　　美國東北大學的 Domien Schepers 和 Aanjhan Ranganathan 以及比利時魯汶大學 imec-DistriNet 的 Mathy Vanhoef 在昨天發表了一篇技術論文《對幀做手腳：通過操控傳輸隊列繞過 WiFi 加密機制》，他們在論文中寫道：" 我們的攻擊有其廣泛的影響，因為它們可以影響各種不同的設備和操作系統(Linux、FreeBSD、iOS 和安卓)，還因為它們可以用來劫持 TCP 連接或攔截客戶端和互聯網流量。"

　　節電漏洞

　　IEEE 802.11 標準包括節電機制，允許 WiFi 設備通過緩沖或隊列發給睡眠模式設備的幀來達到節電效果。

　　當客戶端站(接收設備)進入睡眠模式時，它向接入點發送一個幀，該幀的報頭含有節電位，因此發給該接入點的所有幀都進入隊列。

　　然而，該標準并沒有為管理這些隊列幀的安全性提供明確的指導，也沒有設置限制，比如幀可以在這種狀態下逗留多長時間。

　　一旦客戶端站由睡眠模式進入工作模式，接入點將緩存的幀從隊列中取出，采用加密，并將它們傳輸到目的地。

　　攻擊者可以欺騙網絡上設備的 MAC 地址，并向接入點發送節電幀，從而迫使它們開始將發送給目標的幀列入隊列。然后，攻擊者發送喚醒幀來檢索幀堆棧。

　　傳輸的幀通常使用在 WiFi 網絡中所有設備之間共享的組地址加密密鑰或成對加密密鑰進行加密，這個加密密鑰對每個設備而言都具有唯一性，用于加密兩個設備之間交換的幀。

　　然而，攻擊者可以通過向接入點發送驗證幀和關聯幀來改變幀的安全上下文，從而迫使接入點以明文形式傳輸幀或使用攻擊者提供的密鑰對其進行加密。

　　圖 1. 攻擊圖(圖片來源：papers.mathyvanhoef.com)

　　這種攻擊可以使用研究人員創建的名為 MacStealer 的自定義工具來實現，該工具可以測試 WiFi 網絡的客戶端隔離旁路，并在 MAC 層攔截發給其他客戶端的流量。

　　研究人員報告，來自 Lancom、Aruba、思科、華碩和友訊的網絡設備型號已知受到這些攻擊的影響，完整的設備列表如下。

　　圖 2. 測試后發現易受攻擊的設備(圖片來源：papers.mathyvanhoef.com)

　　研究人員警告，這些攻擊可能被用來將 JavaScript 等惡意內容注入到 TCP 數據包中。

　　研究人員警告：" 攻擊者可以使用他們自己的與互聯網連接的服務器，通過注入帶有受欺騙的發送者 IP 地址的路徑外 TCP 數據包，將數據注入到這個 TCP 連接中。"

　　" 比如說，這可能被用來通過明文 HTTP 連接向受害者發送惡意 JavaScript 代碼，目的是利用客戶端瀏覽器中的漏洞。"

　　雖然這種攻擊也可以用來窺視流量，但由于大多數互聯網流量都是使用 TLS 加密的，因此造成的影響有限。

　　技術細節和研究內容可在 USENIX Security 2023 論文中獲得(https://papers.mathyvanhoef.com/usenix2023-wifi.pdf)，該論文將于 2023 年 5 月 12 日在即將召開的黑帽亞洲大會上發表。

　　思科承認漏洞

　　第一家承認 WiFi 協議漏洞影響的供應商是思科，它承認論文中概述的攻擊可能會成功攻陷思科無線接入點產品和具有無線功能的思科 Meraki 產品。

　　然而思科認為，檢索到的幀不太可能危及適當安全的網絡具有的整體安全性。

　　思科聲稱：" 這種攻擊被視為伺機作案的攻擊，攻擊者獲得的信息在安全配置的網絡中幾乎沒有多少價值。"

　　不過，該公司還是建議用戶采取緩解措施，比如通過思科身份服務引擎(ISE)等系統使用策略執行機制，該系統可以通過實施思科 TrustSec 或軟件定義訪問(SDA)技術來限制網絡訪問。

　　思科的安全公告寫道：" 思科還建議盡可能實施傳輸層安全，以便對傳輸中的數據進行加密，因為這將使攻擊者無法使用獲取的數據。"

　　目前，還沒有有人惡意利用研究人員發現的漏洞的已知案例。