Wi-Fi-точки H3C, Huawei, Xiaomi допускают угон трафика через ICMP-редирект

Wi-Fi-точки H3C, Huawei, Xiaomi допускают угон трафика через ICMP-редирект

Wi-Fi-точки H3C, Huawei, Xiaomi допускают угон трафика через ICMP-редирект

Университетские исследователи из Китая и США разработали многоступенчатую атаку, позволяющую обойти WPA-защиту и шпионить за пользователями беспроводных сетей. Метод использует уязвимость точек беспроводного доступа (AP) на чипах Qualcomm и HiSilicon и предполагает отправку поддельного редирект-сообщения ICMP.

Виновником появления проблемы раскрытия информации CVE-2022-25667 в чипсетах названных производителей является сетевой процессор: он некорректно обрабатывает ICMP-запросы, используемые для диагностики сетей связи. В результате такое служебное сообщение можно подменить редиректором в рамках MitM-атаки, и уязвимый роутер не заблокирует его, а передаст на целевое устройство.

Подобная уловка, как выяснили (PDF) исследователи, также позволяет обойти WPA-защиту. Проведение атаки в данном случае возможно, если злоумышленник находится в одной сети с жертвой, знает ее IP-адрес, имеет возможность связаться с ее устройством напрямую и нашел на нем открытый порт UDP. Использование HTTPS, SSH либо TLS в дополнение к WPA способно значительно затруднить расшифровку угнанного трафика.

 

В рамках исследования были протестированы 55 моделей роутеров режима AP десяти вендоров; все продукты не смогли заблокировать поддельное ICMP-сообщение. Исследователи также проверили 122 сети Wi-Fi, в том числе с защитой WPA2 и WPA3; 109 из них (89%) оказались уязвимыми к показанной выше MitM-атаке.

 

Список потенциальных жертв включает устройства, использующие Linux 2.6.39 и выше, FreeBSD 6.0 и выше, macOS 10.0.4∼10.10.5, iOS 1∼8 и Android с версиями ядра ниже 10.0, — при условии, что ICMP-редиректы включены по умолчанию.

 

Заинтересованные стороны проинформированы о новой угрозе. В Qualcomm опубликовали бюллетень, а затем выпустили патчи. Компания HiSilicon (собственность Huawei) и шесть из десяти AP-вендоров признали наличие проблемы. Большинство операторов уязвимых WiFi-сетей планируют исправить ситуацию.

Соответствующие уведомления отправлены в сообщества Linux и FreeBSD, а также Google и партнерам – производителям Android-устройств. От Google получен ответ с подтверждением проблемы.

Кроме патчинга, авторы исследования предлагают для защиты ввести дополнительные проверки межсетевого взаимодействия на разных уровнях. К примеру, можно более тщательно проверять входящие ICMP-сообщения на стороне запрашивающего устройства или разрешить AP в беспроводных сетях блокировать подозрительные послания по этому протоколу.

Подобные фильтры усложнят задачу атакующим без поражения в ICMP-функциональности. Исследователи создали прототип такого механизма на базе Linux 4.18 и удостоверились в его эффективности. Они также опубликовали видеролик с демонстрацией своей атаки и собираются сделать доклад на майской конференции IEEE по безопасности и приватности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России активизировались забойщики свиней из азиатских стран

В России активизировались мошенники из стран Юго-Восточной Азии, использующие схему Pig Butchering («забой свиней»). Они налаживают доверительные отношения с пользователями соцсетей и сервисов знакомств («этап откорма»), а затем выманивают у них деньги под предлогом инвестиций или развития бизнеса («этап разделки»).

Как сообщили «РИА Новости» в компании Angara Security, злоумышленники применяют не только традиционные методы социальной инженерии, но и современные технологии искусственного интеллекта, включая дипфейки. Чаще всего они действуют через фальшивые аккаунты.

«Техника Pig Butchering стала глобальной проблемой для правоохранительных органов и финансовых организаций», — отмечает эксперт по социотехническому тестированию Angara Security Яков Филевский. По его данным, ежегодный оборот мошенничества по этой схеме в мире достигает около 75 млрд долларов.

Мошенники, как правило, создают аккаунты от имени девушек, якобы оказавшихся в трудной жизненной ситуации. Они выманивают у собеседников личные и платёжные данные, умело эксплуатируя индивидуальные особенности жертв. Страницы злоумышленников наполняются персонализированным контентом, который создают с помощью нейросетей — таким образом мошенники подстраиваются под каждого конкретного пользователя и сохраняют заданную легенду.

«Частое общение с таким "собеседником" на протяжении нескольких недель формирует у жертвы иллюзию доверительных отношений. Это ощущение усиливается отсутствием характерных для реального общения негативных факторов — конфликтов, разочарований, несоответствия ожиданий. В результате человек легко соглашается вложить деньги в "прибыльный бизнес", предложенный мошенником», — поясняет Яков Филевский.

Получив средства, аферисты либо обналичивают их, либо переводят в криптовалюту и исчезают.

Чтобы не стать жертвой подобной схемы, эксперты советуют соблюдать осторожность:

  • не доверять сомнительным инвестиционным предложениям,
  • проверять любую информацию о собеседнике,
  • использовать двухфакторную аутентификацию,
  • и, главное, не передавать незнакомым людям персональные и платёжные данные.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru