Detectando FragAttacks: Visión general de las fallas de WiFi recientemente descubiertas
Tabla de contenidos:
Otra vez, los profesionales de seguridad deben prepararse y verificar sus suministros de café debido a un conjunto de vulnerabilidades recientemente identificadas en el estándar Wi-Fi. Llamadas colectivamente FragAttacks, estas fallas afectan casi todos los dispositivos habilitados para redes inalámbricas y permiten que los adversarios tomen control sobre los sistemas vulnerables para interceptar información secreta. Mathy Vanhoef, un experto en seguridad que reveló estos sorprendentes errores, indica que literalmente todos los productos Wi-Fi se ven afectados al menos por un solo problema, y la mayoría de ellos son vulnerables a varias fallas.
¿Qué son los FragAttacks?
FragAttacks, que significan frataques de fragmentación y agagregación, derivan del diseño inicial de los protocolos Wi-Fi y varios errores de programación introducidos en los dispositivos Wi-Fi. En total, los investigadores de seguridad han identificado 12 problemas que pueden resultar en la exfiltración de datos sensibles. Notablemente, los errores revelados impactan todos los protocolos modernos de seguridad de Wi-Fi, incluida la especificación WPA3 y WEP. Esto significa que algunas de las vulnerabilidades identificadas se introdujeron en 1997, afectando a los productos inalámbricos durante más de dos décadas.
La buena noticia es que los problemas de diseño del protocolo son difíciles de explotar y no hay evidencia de que estas fallas hayan sido aprovechadas en la práctica. Sin embargo, solo hay tres vulnerabilidades que afectan al estándar Wi-Fi en sí. Otros errores provienen de omisiones de programación que son muy triviales de utilizar.
Un perspicaz documento de Mathy Vanhoef, un experto experimentado en seguridad Wi-Fi, destaca al menos tres escenarios de explotación. En primer lugar, los adversarios podrían abusar de las vulnerabilidades para obtener los detalles de inicio de sesión de la víctima. En segundo lugar, los hackers pueden explotar dispositivos expuestos del Internet de las Cosas (IoT) activando y desactivando un enchufe inteligente. En tercer lugar, los agujeros de seguridad podrían ser aprovechados para proceder con ataques sofisticados, incluidos aquellos dirigidos a tomar control sobre instalaciones obsoletas de Windows 7 dentro de una red local.
Los investigadores creen que las fallas existentes de Wi-Fi podrían ser aprovechadas para servir a dos objetivos principales: robar detalles confidenciales y tomar control de máquinas vulnerables en la red privada de una persona. El segundo objetivo es más amenazante pero probable, ya que los dispositivos de hogares inteligentes e IoT frecuentemente carecen de actualizaciones relevantes junto con defensas de ciberseguridad adecuadas.
Detección y Mitigación de FragAttacks
El lote de vulnerabilidades de FragAttack se divulgó públicamente después de un período de embargo de nueve meses utilizado por la Wi-Fi Alliance para modernizar su estándar y directrices bajo la supervisión del Consorcio de la Industria para el Avance de la Seguridad en Internet (ICASI). Además, la Alianza se asoció con destacados proveedores de productos Wi-Fi para lanzar parches de firmware. La últimadeclaración de ICASIrevela una visión integral de las mitigaciones existentes e indica que no todos los proveedores lanzaron las actualizaciones requeridas.Se insta a los usuarios a inspeccionar los avisos existentes y parchear sus dispositivos lo antes posible.
Para asistir a la comunidad de ciberseguridad en sus esfuerzos por combatir FragAttacks, el Equipo SOC Prime lanzó una regla Sigma comunitaria que ayuda a detectar la presencia de vulnerabilidades en su red. Este fragmento de código es una regla de palabra clave simple que busca 12 CVEs posibles asociados con FragAttack. Aunque esta regla no detecta el comportamiento del CVE en sí mismo, podría ser útil para alertar a los equipos de SecOps sobre las amenazas que ponen en peligro la infraestructura organizativa.
https://tdm.socprime.com/tdm/info/0rQ9ZcuYHfvm/#sigma
La regla tiene traducciones a los siguientes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye
EDR: SentinelOne
Suscríbase al Mercado de Detección de Amenazas, una poderosa plataforma de Detección como Código que ayuda a los profesionales de seguridad a mejorar sus capacidades de defensa cibernética y reducir el tiempo promedio para la detección de ataques. Nuestra biblioteca de contenido SOC agrega más de 100K algoritmos de detección y consultas de caza de amenazas mapeadas a los marcos de trabajo CVE y MITRE ATT&CK®. ¿Te entusiasma monetizar tus habilidades de caza de amenazas? ¡Únete a nuestro programa de Threat Bounty para crear tu propio contenido de detección y obtener recompensas por tu aporte!
