Wi-Fi WPA2 “Kr00k”漏洞分析與復現
1 研究背景
在今年2月份的RSA大會上,ESET的研究人員公開披露Wi-Fi晶片存在嚴重安全漏洞CVE-2019-15126,並將其命名為“Kr00k”。攻擊者可以利用“Kr00k”解密無線網路流量,獲取傳輸過程中的敏感資料。
Kr00k漏洞影響部分安裝Broadcom和Cypress Wi-Fi晶片的裝置,這兩家晶片產品被廣泛應用於手機、平板電腦及IOT裝置中。保守估計,全球總計超過10億的裝置受該漏洞的影響。
2 漏洞分析
2.1 漏洞原理
在介紹Kr00k漏洞之前,先簡單瞭解下WPA2協議。目前基於AES-CCMP的WPA2協議是Wi-Fi網路中最普遍的標準。下圖是客戶端(Station, STA)連線接入點(Access Point, AP)的訊息互動過程。
STA和AP在四次握手中,協商會話金鑰PTK(Pairwise Transient Key),PTK是由PMK和PKE計算生成,而PMK由ANonce、SNonce和雙方MAC地址等計算生成。PTK分為KCK、KEK和TK三部分,其中,KCK用於MIC校驗,KEK用於加密GTK,TK為資料加密金鑰。四次握手完成後,傳輸資料使用TK進行加密。
在WPA2協議中,解除關聯操作可以由未經身份驗證和未加密的管理幀觸發,Kr00k漏洞與解除關聯操作密切相關。在下圖所示中,當站點的連線會話解除關聯後,儲存在Wi-Fi晶片中的會話金鑰(TK)被置零,如果使用已置零的TK金鑰對晶片快取中的資料進行加密並傳輸,將導致漏洞產生。
攻擊者利用無線網路卡即可完成入侵,通過不斷觸發解除關聯、重新關聯,然後使用全零TK對捕獲的資料幀進行解密,從而獲取敏感資訊。
2.2韌體分析
本文選取Nexus5中的BCM4339晶片韌體進行分析。首先,定位韌體中計算ptk的位置,如下圖所示。
然後,對其上層函式wlc_wpa_sup_eapol進行分析。
wlc_wpa_sup_eapol呼叫wpa_pmk_to_ptk時,傳入的引數分別為mac1、mac2、Nonce1、Nonce2、pmk、pmk_len、ptk、ptk_len。 ptk計算結果被儲存在wpa_ptk結構體偏移0x8c位置中。
wlc_sup_attach函式用於處理S他的初始化連線,該函式對wpa_ptk結構體進行記憶體分配和初始化,wpa_ptk結構體大小為0x13C。
當初始化失敗、連線超時或解除連線的時候,則會呼叫wlc_sup_detach函式對wpa_ptk結構體進行置零操作。
3漏洞驗證
3.1 測試環境
3.2 測試步驟
(1)對wireshark解密資料包的相關功能進行patch,使其能夠成功解密全零TK加密的資料。
(2)使用patch後的wireshark監聽目標裝置和AP通訊的資料包。
(3)使用目標裝置連線AP並任意訪問網頁。
(4)對AP和測試目標傳送Disassocation包。
(5)重複執行步驟(3)和(4),觀察wireshark中資料包是否解密。
3.3測試結果
Nexus 5:
iphone 6s:
可以看出,Nexus 5和iphone 6s部分資料被成功解密。
4 影響範圍
目前已知受影響的裝置有:
· Amazon Echo 2nd gen
· Amazon Kindle 8th gen
· Apple iPad mini 2
· Apple iPhone 6, 6S, 8, XR
· Apple MacBook Air Retina 13-inch 2018
· Google Nexus 5
· Google Nexus 6
· Google Nexus 6P
· Raspberry Pi 3
· Samsung Galaxy S4 GT-I9505
· Samsung Galaxy S8
· Xiaomi Redmi 3S
· Asus RT-N12
· Huawei B612S-25d
· Huawei EchoLife HG8245H
· Huawei E5577Cs-321
5安全建議
裝置製造商已釋出的安全建議如下:
· https://support.apple.com/en-us/HT210721
· https://support.apple.com/en-us/HT210722
· https://support.apple.com/en-us/HT210788
· https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-003.txt
· https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
· https://www.huawei.com/en/psirt/security-notices/huawei-sn-20200228-01-kr00k-en
· https://www.microchip.com/design-centers/wireless-connectivity/embedded-wi-fi/kr00k-vulnerability
· https://www.mist.com/documentation/mist-security-advisory-kr00k-attack-faq/
· https://www.zebra.com/us/en/support-downloads/lifeguard-security/kr00k-vulnerability.html
相關文章
- Wi-Fi 漏洞 Kr00k 曝光:全球數十億臺裝置受影響
- 【阿菜漏洞復現】DeFi 平臺 MonoX Finance 漏洞分析及復現MonoNaN
- 【漏洞復現】Paraluni 安全事件分析事件
- S2-066漏洞分析與復現(CVE-2023-50164)
- 西門子PLC S7-1500漏洞分析與復現
- CVE-2020-9484 tomcat session持久化漏洞分析與復現TomcatSession持久化
- ThinkPHP 5.x 遠端命令執行漏洞分析與復現PHP
- cgibin中與upnp協議有關的一些漏洞分析與復現協議
- Windows域提權漏洞CVE-2022-26923分析與復現Windows
- DLink 815路由器棧溢位漏洞分析與復現路由器
- 定心丸!ZipperDown漏洞分析與修復建議
- Apache漏洞復現Apache
- weblogic 漏洞復現Web
- VMware Tools本地提權漏洞CVE-2022-31676分析與復現(1)
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- weblogic ssrf漏洞復現Web
- 笑臉漏洞復現
- Vulhub WebLogic漏洞復現Web
- Tomcat系列漏洞復現Tomcat
- 致遠AnalyticsCloud分析雲任意檔案讀取漏洞復現Cloud
- CVE-2021-3129:Laravel遠端程式碼漏洞復現分析Laravel
- Weblogic-SSRF漏洞復現Web
- 護網漏洞復現(三)
- 【漏洞復現】Shiro<=1.2.4反序列化漏洞
- Redis未授權漏洞復現Redis
- CVE-2015-5254漏洞復現
- CVE-2016-3088漏洞復現
- IIS短檔名漏洞復現
- nginx目錄穿越漏洞復現Nginx
- CVE2019-11043漏洞復現
- cve-2020-1472 漏洞復現
- CVE-2014-3393詳細分析與復現
- 區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復區塊鏈APP
- 網站漏洞修復服務商關於越權漏洞分析網站
- ThinkAdmin漏洞(CVE-2020-25540 )復現
- 資料庫安全-ElasticSearch漏洞復現資料庫Elasticsearch
- 某小型CMS漏洞復現審計
- Fastjson反序列化漏洞復現ASTJSON