FragAttacks 감지: 새로 발견된 WiFi 결함 개요
목차:
보안 전문가들은 Wi-Fi 표준의 최근 발견된 취약점 세트로 인해 또 한 번 경계를 늦추지 않고, 커피를 많이 준비해야 할 것입니다. 이 결함들은 FragAttacks로 통칭되며, 거의 모든 무선 장치에 영향을 미치고, 적들이 취약한 시스템을 통제하여 비밀 정보를 가로채게 할 수 있습니다. 이러한 경이로운 버그를 공개한 보안 전문가 Mathy Vanhoef는 모든 Wi-Fi 제품이 최소한 하나의 문제에 의해 영향을 받는다고 지적하며, 대부분은 여러 결함에 취약하다고 말합니다.
FragAttacks란 무엇인가요?
FragAttacks는 fr조각화 및 ag집계 공격의 약자로, Wi-Fi 프로토콜의 초기 설계와 Wi-Fi 장치에 도입된 몇 가지 프로그래밍 구성 오류에서 유래합니다. 총 12개의 문제가 발견되었으며, 이는 민감한 데이터 유출을 초래할 수 있습니다. 특히, 공개된 버그는 WPA3 규격과 WEP을 포함한 모든 최신 Wi-Fi 보안 프로토콜에 영향을 미칩니다. 이는 일부 발견된 취약점들이 1997년에 도입되어 20년 넘게 무선 제품에 영향을 미쳤다는 것을 의미합니다. that might result in sensitive data exfiltration. Notably, the revealed bugs impact all modern security protocols of Wi-Fi, including WPA3 specification and WEP. This means that some of the identified vulnerabilities were introduced back in 1997, affecting wireless products for more than two decades.
좋은 소식은 프로토콜 설계 문제는 악용이 어렵고, 이러한 결함들이 실제로 악용된 증거는 없다는 것입니다. 그러나 Wi-Fi 표준 자체에 영향을 미치는 취약점은 단 세 가지에 불과합니다. 다른 버그들은 매우 사소한 프로그래밍 실수에서 비롯됩니다.
면밀한 논문 은 Wi-Fi 보안 분야에서 경험이 풍부한 Mathy Vanhoef가 작성했으며, 최소한 세 가지의 악용 시나리오를 강조합니다. 먼저, 적들은 피해자의 로그인 정보를 얻기 위해 취약점을 악용할 수 있습니다. 둘째, 해커들은 스마트 전원 소켓을 활성화하거나 비활성화하여 노출된 사물인터넷(IoT) 장치를 악용할 수 있습니다. 셋째, 보안 구멍은 로컬 네트워크 내의 구버전 Windows 7 설치를 통제하려는 고급 공격을 진행하기 위해 악용될 수 있습니다.
연구원들은 기존의 Wi-Fi 결함이 두 가지 주요 목표를 위해 활용될 수 있다고 믿습니다: 기밀 정보를 훔치는 것과 개인 네트워크 내의 취약한 기계를 제어하는 것입니다. 두 번째 목적은 더욱 위협적이지만 스마트 홈과 IoT 장치가 관련 업데이트와 적절한 사이버보안 방어를 자주 결여하고 있기 때문에 가능성이 있습니다.
FragAttacks 탐지 및 완화
FragAttack 취약점은 Industry Consortium for Advancement of Security on the Internet (ICASI)의 감독하에 Wi-Fi Alliance가 표준과 지침을 현대화하는 데 사용한 9개월의 금지 기간 후에 공개되었습니다. 또한 Alliance는 주요 Wi-Fi 제품 벤더들과 협력하여 펌웨어 패치를 배포했습니다. 최신ICASI 성명서는 기존 완화 조치에 대한 종합적인 개요를 공개하며 모든 벤더가 필수 업데이트를 배포하지 않았음을 나타냅니다.사용자들은 기존의 권고사항을 점검하고 가능한 한 빨리 장치를 패치할 것을 권장합니다.
FragAttacks와 싸우기 위한 사이버 보안 커뮤니티의 노력을 지원하기 위해 SOC Prime 팀은 네트워크에서 취약점 존재를 탐지하는 데 도움이 되는 커뮤니티 Sigma 규칙을 발표했습니다. 이 코드는 FragAttack과 관련된 12개의 가능한 CVE를 검색하는 간단한 키워드 규칙입니다. 이 규칙은 CVE 동작 자체를 감지하지는 않지만, 조직 인프라를 위협하는 위협에 대해 SecOps 팀에게 경고하는 데 유용할 수 있습니다.
https://tdm.socprime.com/tdm/info/0rQ9ZcuYHfvm/#sigma
이 규칙은 다음 언어로 번역됩니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye
EDR: SentinelOne
사이버 보안 실무자들이 사이버 방어 능력을 강화하고 공격 탐지 시간을 줄이는 데 도움을 주는 강력한 Detection as Code 플랫폼인 Threat Detection Marketplace에 가입하십시오. SOC 콘텐츠 라이브러리는 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 100,000개 이상의 탐지 알고리즘과 위협 사냥 쿼리를 취합합니다. 위협 사냥 기술을 수익화하고 싶으신가요? Threat Bounty 프로그램에 가입하여 자신의 탐지 콘텐츠를 제작하고 기여에 대해 보상을 받으세요!
