Kr00K: eszközök ezermilliói veszélyben

Az ESET kutatói nemrégiben fedezték fel az eddig ismeretlen Kr00k (CVE-2019-15126) elnevezésű sérülékenységet, amely számos kliens eszközt, Wi-Fi hozzáférési pontot és az útválasztókban használt Wi-Fi-chipet érint(het). 

A Kr00k sebezhetőség a hálózati kommunikációt érinti, amit csak nullákból álló kulccsal titkosítanak (all-zero encryption key). Egy sikeres támadás esetén a kiberbűnözők egyszerűen dekódolják a vezeték nélküli hálózati csomagokban található adatokat.

A Kr00k felfedezése az ESET kutatásain alapul, amelyek az Amazon Echo KRACK (Key Reinstallation Attacks) sérülékenységét térképezték fel. A Kr00k a KRACK-hez kapcsolódik, de alapvetően más. A hibát az all-zero titkosítási kulcs újratelepítése közben azonosították a KRACK-et érintő támadások tesztelésekor. A kutatások eredményeként a legtöbb nagy eszközgyártó már kiadta a javításokat.

A Kr00k különösen veszélyes, mivel a becslések szerint is több, mint eezer millió Wi-Fi-kompatibilis eszközt érint. Az ESET a minapi RSA konferencián hozta nyilvánosságra a sebezhetőségről szóló beszámolóját.

A Kr00k az összes még befoltozatlan Broadcom és Cypress Wi-Fi chipeket tartalmazó eszközt érinti. Ezek a leggyakoribb Wi-Fi chipek, amelyeket a mai kliens-eszközökben használnak. A Wi-Fi hozzáférési pontokat és az útválasztókat szintén érinti a sérülékenység, amely a javított klienseket tartalmazó környezeteket is veszélyezteti. Az ESET tesztelte és megerősítette, hogy a veszélyeztetett eszközök között az Amazon (Echo, Kindle), az Apple (iPhone, iPad, MacBook), a Google (Nexus), a Samsung (Galaxy), a Raspberry (Pi 3) és a Xiaomi (Redmi) eszközei is megtalálhatók, ahogy az Asus és Huawei hozzáférési pontjai is.

Az ESET természetesen bemutatta a sebezhetőséget a Broadcom és a Cypress gyártóinak is, akik emiatt javításokat adtak ki a hiba kezelésére. Az ESET az CASI (Industry Consortium for Advancement of Security on the Internet) szervezettel is együttműködött avégett, hogy minden esetlegesen érintett fél – beleértve a veszélyeztetett chipeket használó eszközgyártók, valamint az esetlegesen érintett chipek gyártói is – tisztában legyen a Kr00k-fenyegetéssel. Az ESET információi szerint a nagy gyártók eszközeinek sebezhetőségét már megszüntették.

„A Kr00k a Wi-Fi hálózatról lekapcsolódáskor jelentkezik – amely megtörténhet, például egy gyenge Wi-Fi jel miatt, illetve a támadók is előidézhetik. Ha a támadás sikeres, több kilobájt potenciálisan érzékeny információ válik elérhetővé illetéktelenek számára” – magyarázza Miloš Čermák, az ESET vezető kutatója. A lekapcsolódás ismételt előidézésével a támadó számos hálózati csomagot foghat el így – kényes, bizalmas, titkos adatokkal.

„Ahhoz, hogy használóként megvédhessük magunkat, a legújabb firmware-verzióra kell frissítenünk az összes Wi-Fi-kompatibilis eszközünket, beleértve a telefonokat, táblagépeket, laptopokat, e-book olvasókat, az IoT-eszközöeinket, valamint a Wi-Fi hozzáférési pontokat és útválasztókat” – tanácsolja Robert Lipovský, az ESET kutatója.

Aggodalomra ad okot, hogy nemcsak az ügyféleszközök, hanem a Wi-Fi hozzáférési pontok és az útválasztók is érintettek a Kr00k sebezhetőségben. Ez alapvetően megnöveli a támadási felületet, mivel a bűnözők visszafejthetik azokat az adatokat is, amelyeket egy külső, hibás hozzáférési pont továbbít egy sértetlen eszközünkre.”