Rilevare i FragAttacks: Panoramica delle recenti vulnerabilità scoperte nel WiFi
Indice:
Ancora una volta, i professionisti della sicurezza dovrebbero prepararsi e controllare le loro scorte di caffè a causa di una serie di vulnerabilità recentemente identificate nello standard Wi-Fi. Collettivamente chiamate FragAttacks, queste falle riguardano quasi tutti i dispositivi abilitati per connessioni wireless e permettono agli avversari di prendere il controllo dei sistemi vulnerabili per intercettare informazioni segrete. Mathy Vanhoef, un esperto di sicurezza che ha rivelato questi straordinari bug, indica che letteralmente tutti i prodotti Wi-Fi sono interessati almeno da un problema, con la maggior parte di essi vulnerabili a diverse falle.
Cosa sono i FragAttacks?
I FragAttacks, che stanno per frttacchi di frammentazione e aggregazione, derivano dal design iniziale dei protocolli Wi-Fi e da vari errori di configurazione introdotti nei dispositivi Wi-Fi. In totale, i ricercatori di sicurezza hanno identificato 12 problemi che potrebbero portare all’esfiltrazione di dati sensibili. In particolare, i bug rivelati colpiscono tutti i moderni protocolli di sicurezza Wi-Fi, inclusa la specifica WPA3 e WEP. Ciò significa che alcune delle vulnerabilità identificate sono state introdotte nel 1997, colpendo i prodotti wireless per più di due decenni.
La buona notizia è che i problemi legati al design del protocollo sono difficili da sfruttare e non ci sono prove che queste falle siano mai state utilizzate in natura. Tuttavia, ci sono solo tre vulnerabilità che riguardano direttamente lo standard Wi-Fi. Altri bug derivano da errori di programmazione molto banali da utilizzare.
Un approfondito articolo di Mathy Vanhoef, un esperto di sicurezza Wi-Fi con esperienza, mette in evidenza almeno tre scenari di sfruttamento. Innanzitutto, gli avversari potrebbero abusare delle vulnerabilità per ottenere i dettagli di accesso della vittima. In secondo luogo, gli hacker possono sfruttare i dispositivi Internet-of-Things (IoT) esposti attivando e disattivando una presa intelligente. Terzo, le falle di sicurezza potrebbero essere abusate per eseguire attacchi sofisticati, inclusi quelli volti a prendere il controllo delle installazioni obsolete di Windows 7 all’interno di una rete locale.
I ricercatori ritengono che le esistenti falle Wi-Fi potrebbero essere sfruttate per servire due obiettivi principali: rubare dettagli riservati e prendere il controllo delle macchine vulnerabili nella rete privata di una persona. Il secondo obiettivo è più minaccioso ma probabile poiché i dispositivi per la casa intelligente e IoT spesso mancano di aggiornamenti pertinenti e di adeguate difese informatiche.
Rilevamento e mitigazione dei FragAttacks
Il gruppo di vulnerabilità FragAttack è stato divulgato pubblicamente dopo un periodo di embargo di nove mesi utilizzato dalla Wi-Fi Alliance per modernizzare il suo standard e le sue linee guida sotto la supervisione del Industry Consortium for Advancement of Security on the Internet (ICASI). Inoltre, l’Alliance ha collaborato con importanti fornitori di prodotti Wi-Fi per distribuire patch firmware. L’ultimocomunicato ICASIrivela una panoramica completa delle mitigazioni esistenti e indica che non tutti i fornitori hanno rilasciato gli aggiornamenti richiesti.Gli utenti sono invitati a esaminare le avvertenze esistenti e aggiornare i loro dispositivi il prima possibile.
Per assistere la comunità della sicurezza informatica nei loro sforzi per combattere i FragAttacks, il SOC Prime Team ha rilasciato una regola Sigma comunitaria che aiuta a rilevare la presenza di vulnerabilità sulla tua rete. Questo pezzo di codice è una regola di parole chiave semplice che cerca 12 possibili CVE associati a FragAttack. Sebbene questa regola non rilevi il comportamento del CVE stesso, potrebbe essere utile nell’allertare i team SecOps sulle minacce che mettono in pericolo l’infrastruttura organizzativa.
https://tdm.socprime.com/tdm/info/0rQ9ZcuYHfvm/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye
EDR: SentinelOne
Iscriviti al Threat Detection Marketplace, una potente piattaforma Detection as Code che aiuta i professionisti della sicurezza a potenziare le loro capacità di difesa informatica e ridurre il tempo medio per il rilevamento degli attacchi. La nostra libreria di contenuti SOC aggrega oltre 100K algoritmi di rilevamento e query di hunting delle minacce mappate su framework CVE e MITRE ATT&CK®. Sei appassionato di monetizzare le tue abilità di threat hunting? Unisciti al nostro programma Threat Bounty per creare i tuoi contenuti di rilevamento e ottenere ricompense per il tuo contributo!
