В протоколе Wi-Fi нашлась лазейка, позволяющая хакерам перехватывать весь пользовательский трафик и не бояться шифрования. Проблеме подвержены роутеры популярных брендов, включая ушедшие из России Asus, Cisco и Meraki. Защититься от взлома можно, но, по большей части, все будет зависеть от расторопности производителей сетевого оборудования — чем быстрее они выпустят латающие «дыру» патчи, тем меньше шанс попасться в лапы хакерам.

Опасный Wi-Fi

Стандарт беспроводных сетей Wi-Fi содержит в себе опасную уязвимость, позволяющую злоумышленникам перехватывать весь пользовательский трафик. Когда именно она закралась в этот протокол, не установлено, но нельзя исключать, что она появилась вместе с самой технологией Wi-Fi в 1997 г. и является неотделимым ее компонентом.

Брешь в технологии обнаружил специалист в области кибербезопасности Мэти Ванхоф (Mathy Vanhoef). Это, по меньшей мере, 13 по счету обнаруженная им дыра в Wi-Fi. Также Ванхоф выпустил специализированную утилиту MacStealer, которая в разы упрощает эксплуатацию этой уязвимости с присвоенным ей номером CVE-2022-47522. Идентичное название ранее было присвоено вредоносу для Apple macOS, но это совершенно другая программа, никак не связанная с творением Ванхофа.

Недочет в алгоритмах безопасности Wi-Fi скрывался в системе формирования очередей буферизации фреймов, подготовленных к отправке подключенным к роутеру или точке доступа клиентским устройствам. Каждый фрейм — это мини-архив, наполненный частичками нужной пользователю информации а также сопроводительными данными, позволяющими ему поступать на нужное устройство. Это достигается за счет инъекции в фрейм МАС-адресов принимающего и передающего устройства.

Фреймы передаются в зашифрованном виде, но пробелы в безопасности Wi-Fi дают хакерам возможность отправлять их без шифрования. Утилита MacStealer этим и занимается, обеспечивая киберпреступников свободным доступом к пользовательскому трафику в беспроводных сетях.

Никто не в безопасности

Мэти Ванхоф опубликовал отчет, в котором подробно разобрал весь процесс взлома даже зашифрованных сетей Wi-Fi. Суть проблемы кроется в режиме энергосбережения, который включается на находящихся в сети устройствах при длительном простое встроенного в них модуля Wi-Fi. Они предупреждают об этом точку доступа или роутер, отправляя им соответствующий флаг, после чего все предназначенные для отправки на гаджет фреймы временно ставятся в очередь для передачи при выходе устройства из спящего режима.

При помощи MacStealer и подобных утилит хакеры могут принудительно «усыпплять» клиентский модуль Wi-Fi и затем добиваться передачи всех помещенных в очередь фреймов или вовсе без шифрования, или зашифрованных нулевым ключом.

По словам Ванхофа, проблема касается в первую очередь роутеров Aruba, Asus, Cisco, D-Link и Lancom, но не исключено, что воспользоваться уязвимостью хакеры могут и в сетях, основанных на маршрутизаторах других брендов.

Как защититься

Cisco стала первой компанией, признавшей, что ее роутеры действительно подвержены проблеме. Также она «сдала» и технику ее «дочки» Meraki. Обе компании покинули российский рынок в 2022 г. и отвернулись от россиян, к тому же Cisco известна своим нежеланием выпускать патчи безопасности для своих маршрутизаторов.

В качестве меры противодействия хакерам Cisco порекомендовала использовать, где это возможно, технологии безопасности транспортного уровня для шифрования данных при их передаче. По словам представителей компании, подобное не исправит ошибку в Wi-Fi, но сделает перехваченные хакерами данные непригодными для использования.

На 29 марта 2023 г. в мире не было зафиксировано ни одного случая эксплуатации уязвимости CVE-2022-47522, пишет Bleeping Computer. Тем не менее, угроза реальна — хакеры могут атаковать публичные беспроводные сети, а также корпоративные сети Wi-Fi, в которых реализована возможность гостевого подключения. Но для этого злоумышленникам нужен прямой доступ к таким сетям, что значительно усложняет им работу. Один из способов защиты от перехвата трафика в беспроводной сети — это скрытие точки доступа в настройках роутера. Название сети не будет отображаться в списке имеющихся по близости, что повысит сложность ее поиска.

С высокой долей вероятности, производители сетевого оборудования, понимая масштабы уязвимости CVE-2022-47522, в скором времени начнут выпускать обновления ПО, блокирующее возможность ее эксплуатации. Но, как в случае с упомянутой Cisco, владельцы старых (по мнению производителя) роутеров едва ли могут рассчитывать на такие патчи. Скорее, им придется или рисковать привлечь внимание хакеров, или купить современный маршрутизатор, который гарантированно получит все необходимые обновления.