Nieuwe kwetsbaarheid brengt ruim miljard apparaten in gevaar
Een nieuwe kwetsbaarheid is ontdekt in de WiFi-chip die wordt gebruikt in veel gebruikersapparatuur, WiFi-toegangspunten en routers. Het lek maakt het mogelijk communicatie van de apparatuur af te luisteren.
Hiervoor waarschuwt waarschuwen onderzoekers van ESET. Het lek heet 'Kr00k' (CVE-2019-15126). Kr00k is een kwetsbaarheid die netwerkcommunicatie op een getroffen apparaat versleutelt met een encryptiesleutel bestaande uit enkel nullen. Bij een succesvolle aanval stelt dit de kwaadwillende in staat op draadloze netwerkpakketjes te ontsleutelen.
KRACK
De ontdekking van Kr00k volgt op eerder onderzoek van ESET waaruit bleek dat Amazon Echo kwetsbaar is voor KRACKs (Key Reinstallation Attacks). Kr00k is gerelateerd aan KRACK, maar ook fundamenteel anders. Tijdens het onderzoek naar KRACK, hebben ESET-onderzoekers Kr00k geïdentificeerd als één van de achterliggende oorzaken van 'herinstallatie' van een kwetsbare encryptiesleutel die geobserveerd werd in testen voor KRACK-aanvallen. Na ons onderzoek hebben de meeste grote fabrikanten van relevante apparaten patches gepubliceerd.
Kr00k is vooral gevaarlijk omdat het meer dan een miljard apparaten trof die gebruik maken van WiFi. ESET zal het onderzoek naar deze kwetsbaarheid voor het eerst presenteren tijdens de RSA Conference 2020 op 26 februari.
Ongepatchte Broadcom- en Cypress-WiFi-chips
Kr00k heeft gevolgen voor alle apparaten met Broadcom- en Cypress-WiFi-chips die niet gepatcht zijn. Dit zijn WiFi-chips die vandaag de dag het meest worden gebruikt in gebruikersapparatuur. WiFi-toegangspunten en routers zijn ook getroffen door deze kwetsbaarheid, waardoor zelfs omgevingen met gepatchte gebruikersapparatuur kwetsbaar zijn. ESET heeft de volgende apparaten getest en bevestigd dat ze tot de kwetsbare apparaten behoorden: Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (Redmi) en toegangspunten van Asus en Huawei.
ESET heeft de kwetsbaarheid bekendgemaakt aan chip-fabrikanten Broadcam en Cypress, waarna zij patches hebben gepubliceerd. We hebben samen met het Industry Consortium for Advancement of Security on the Internet (ICASI) gewerkt om ervoor te zorgen dat alle mogelijk betrokken partijen op de hoogte werden gebracht van Kr00k, waaronder de fabrikanten van de apparaten waarin de kwetsbare chips werden gebruikt en fabrikanten van andere, mogelijk getroffen, chips. Volgens de laatste berichtgeving zijn de apparaten van de grote fabrikanten inmiddels gepatcht.
WiFi-dissociaties
“Kr00k manifesteert zichzelf na WiFi-dissociaties, wat uit zichzelf kan gebeuren door bijvoorbeeld een zwak WiFi-signaal, maar het kan ook handmatig veroorzaakt worden door een aanvaller. Wanneer een aanval succesvol is, kunnen kilobytes aan mogelijk gevoelige informatie blootgesteld worden,” legt Miloš ?ermák, hoofd in het onderzoek naar Kr00K-kwetsbaarheid. “Door meerdere malen dissociaties te veroorzaken, kan de aanvaller een aantal netwerkpakketjes met mogelijk gevoelige data onderscheppen,” voegt hij toe.
Figuur: Een actieve aanvaller kan dissociaties veroorzaken om data te onderscheppen en versleutelen.
Up-to-date houden
“Om jezelf als gebruiker te beveiligen, kun je het beste ervoor zorgen dat alle apparaten met WiFi-toegang, inclusief telefoons, tablets, laptops, slimme IoT-apparaten, en WiFi-toegangspunten en routers geüpdatet zijn en de nieuwste firmware-versie gebruiken,” adviseert Robert Lipovský, een ESET-onderzoeker die in het Kr00k-onderzoeksteam werkt. “Een grote zorg is dat niet alleen client apparaten, maar ook WiFi-toegangspunten en routers getroffen zijn door Kr00k. Dit vergroot het aanvalsrisico omdat data die door een kwetsbaar toegangspunt wordt verstuurd naar een niet-kwetsbaar apparaat, wat vaak buiten onze controle ligt, ontsleuteld kan worden door een kwaadwillende.”
Meer technische informatie over Kr00k is te vinden in de whitepaper Kr00k – CVE-2019-15126: Serious vulnerability deep inside your WiFi encryption en het bijbehorende blog.
