Détection des FragAttacks : Aperçu des nouvelles failles WiFi découvertes
Table des matières :
Encore une fois, les praticiens de la sécurité devraient se préparer et vérifier leurs réserves de café en raison d’un ensemble de vulnérabilités récemment identifiées dans la norme Wi-Fi. Collectivement appelées FragAttacks, ces failles affectent presque tous les appareils compatibles avec le sans-fil et permettent aux adversaires de prendre le contrôle des systèmes vulnérables pour intercepter des informations secrètes. Mathy Vanhoef, un expert en sécurité qui a révélé ces bugs époustouflants, indique que littéralement tous les produits Wi-Fi sont impactés au moins par un problème, avec la plupart d’entre eux vulnérables à plusieurs failles.
Que sont les FragAttacks ?
FragAttacks, qui signifie frattaques par fragmentation et agagrégation, dérivent de la conception initiale des protocoles Wi-Fi et de plusieurs erreurs de programmation introduites dans les appareils Wi-Fi. Au total, les chercheurs en sécurité ont identifié 12 problèmes qui pourraient aboutir à une exfiltration de données sensibles. Notamment, les bugs révélés impactent tous les protocoles de sécurité modernes du Wi-Fi, y compris la spécification WPA3 et le WEP. Cela signifie que certaines des vulnérabilités identifiées ont été introduites dès 1997, affectant les produits sans fil pendant plus de deux décennies.
La bonne nouvelle est que les problèmes de conception des protocoles sont difficiles à exploiter et il n’y a aucune preuve que ces failles aient jamais été exploitées dans la nature. Pourtant, il n’y a que trois vulnérabilités affectant la norme Wi-Fi elle-même. D’autres bugs proviennent de lapsus de programmation qui sont très triviaux à utiliser.
Un article perspicace de Mathy Vanhoef, un expert chevronné en sécurité Wi-Fi, met en évidence au moins trois scénarios d’exploitation. Tout d’abord, les adversaires pourraient abuser des vulnérabilités pour obtenir les informations de connexion de la victime. Deuxièmement, les hackers peuvent exploiter les appareils Internet des objets (IoT) exposés en activant et désactivant une prise électrique intelligente. Troisièmement, les failles de sécurité pourraient être exploitées pour procéder à des attaques sophistiquées, y compris celles visant à prendre le contrôle des installations de Windows 7 obsolètes au sein d’un réseau local.
Les chercheurs estiment que les failles existantes du Wi-Fi pourraient être exploitées pour atteindre deux objectifs majeurs : voler des informations confidentielles et prendre le contrôle des machines vulnérables dans son réseau privé. Le deuxième objectif est plus menaçant mais probable puisque les appareils de maison intelligente et IoT manquent fréquemment de mises à jour pertinentes ainsi que de défenses en cybersécurité appropriées.
Détection et Atténuation des FragAttacks
Le lot de vulnérabilités FragAttack a été divulgué publiquement après une période d’embargo de neuf mois utilisée par la Wi-Fi Alliance pour moderniser sa norme et ses lignes directrices sous la supervision du Industry Consortium for Advancement of Security on the Internet (ICASI). De plus, l’Alliance a collaboré avec des vendeurs de produits Wi-Fi éminents pour lancer des correctifs de firmware. Le derniercommuniqué de l’ICASIrévèle un aperçu complet des atténuations existantes et indique que tous les fournisseurs n’ont pas publié les mises à jour requises.Les utilisateurs sont instamment priés d’inspecter les avis existants et de mettre à jour leurs appareils dès que possible.
Pour aider la communauté de la cybersécurité dans leurs efforts pour lutter contre les FragAttacks, l’équipe de SOC Prime a publié une règle Sigma communautaire aidant à détecter la présence de vulnérabilités sur votre réseau. Ce morceau de code est une règle de mots-clés simple qui recherche 12 CVE possibles associés à FragAttack. Bien que cette règle ne détecte pas le comportement des CVE lui-même, elle pourrait être utile pour alerter les équipes SecOps sur les menaces mettant en danger l’infrastructure organisationnelle.
https://tdm.socprime.com/tdm/info/0rQ9ZcuYHfvm/#sigma
La règle a des traductions dans les langues suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye
EDR : SentinelOne
Abonnez-vous à Threat Detection Marketplace, une puissante plateforme Detection as Code aidant les praticiens de la sécurité à renforcer leurs capacités de cyberdéfense et à réduire le temps moyen de détection des attaques. Notre bibliothèque de contenu SOC agrège plus de 100K algorithmes de détection et requêtes de chasse aux menaces cartographiés aux frameworks CVE et MITRE ATT&CK®. Enthousiaste de monétiser vos compétences en chasse aux menaces ? Rejoignez notre programme Threat Bounty pour créer votre propre contenu de détection et obtenir des récompenses pour votre contribution !
