少なくとも 55 種類の Wi-Fi ルーター モデルで確認された脆弱性により、悪意のある人物がワイヤレス ネットワーク経由で送信される被害者のデータをスパイできる可能性があります。
中国と米国の有識者たちが、様々な無線アクセスポイント(AP)の中核を成すQualcommとHiSilicon製チップのネットワーク処理ユニット(NPU)に存在するセキュリティ上の欠陥の詳細を公開しました。この脆弱性(CVE-2022-25667)により、デバイスは偽造されたインターネット制御メッセージプロトコル(ICMP)メッセージをブロックできなくなります。これらのメッセージは、被害者の無線接続を乗っ取り、監視するために悪用される可能性があります。
ICMPは、主にネットワークトラフィックの問題を診断するために使用されるネットワーク層プロトコルです。主にエラー報告に使用されますが、ICMPフラッド攻撃によるサービス拒否攻撃に悪用される可能性があります。
明らかに、このプロトコルはWi-Fi Protected Access(WPA)のセキュリティを回避し、他人の無線ネットワークトラフィックを傍受・監視するためにも利用されます。WPA(WPA2およびWPA3を含む)は、無線ネットワーク上の各デバイスをスヌーピングから保護することを目的としています。クライアントとルーター間のトラフィックは個別に暗号化されるため、たとえ同じWi-Fiネットワーク上にいるクライアントであっても、無線電波を傍受して他人のデータが無線で送受信されるのを傍受することはできません。
この攻撃は、セキュリティレイヤーを突破し、Wi-Fiネットワーク上の1つのデバイスが別のデバイスのトラフィックを傍受・監視できるようになると言われています。この手法は、「不正APを使用しない中間者攻撃:WPAとICMPリダイレクトの併用」と題された論文[PDF]で説明されており、5月に開催される第44回IEEEセキュリティ・プライバシーシンポジウムで発表される予定です。
この攻撃を考案した中国の清華大学および中関村研究所と米国のジョージ・メイソン大学に所属する学者、Xuewei Feng、Qi Li、Kun Sun、Yuxiang Yang、Ke Xuは、「この論文では、無線チャネルでのトラフィックの乗っ取りを防ぐことを目的とした、リンク層での無線フレーム暗号化の設計機能が、IP層でのICMPエラー処理の通常の実行によって妨害され、攻撃者が被害者の要求側のトラフィックを乗っ取る可能性があることを示している」と説明している。
この攻撃が成功するには、スパイと被害者が同じネットワーク(例えば、公共のWi-Fiネットワーク)に接続している必要があります。また、攻撃者はWi-Fiネットワーク経由で被害者のデバイスに直接通信できること、被害者のIPアドレスを知っていること、そして被害者のデバイスで開いているUDPポートを見つけられることが必要です。これらは不可能ではありませんが、必ず見つかるわけではありません。
また、この時点で言っておくべきことは、被害者が WPA だけに頼っておらず、ネットワーク トラフィックを HTTPS、SSH、TLS、またはその他の形式の暗号化プロトコルでラップして盗聴から保護している場合でも、傍受された Wi-Fi 接続を解読するには、スヌープによってその追加の暗号化が破られる必要があるということです。
- Wi-Fiスパイドローンが金融会社を盗聴する方法
- ルーターのDNSハッキングによりユーザーがCOVID-19マルウェアに感染したため、LinksysはスマートWi-Fiアカウントのパスワードリセットを強制
- Wi-Fiキットが不正な暗号でデータを流出 ― ファーウェイ?いや、シスコだ。米大手企業がネットワーク機器のKrookスパイホールバグを修正
- Regの読者は真のハッカーとサイバー犯罪者の違いを知っているが、それ以外の人にとってハッキングは違法行為を意味する。
基本的に、この攻撃は複数の段階に分かれていますが、最も興味深いのは、被害者のデバイスに、APから送信されたように見せかけたICMPリダイレクトメッセージを送信することです。ルーターは、ネットワーク上のデバイスに中継するように要求された場合、理想的にはこのような偽のメッセージを破棄するはずです。なぜなら、ルーターは実際にはメッセージを生成していないからです。しかし、研究者たちは、これらの偽装メッセージが脆弱なAP経由でデバイスに転送されていることを発見しました。受信デバイスは、リダイレクトメッセージがアクセスポイントから送信されたように見えるため、それが正当なものだと誤解してしまいます。
リダイレクトメッセージは、被害者のデバイスのトラフィックを最終的に別の宛先にリダイレクトします。ネットワーク上のスヌープは、あたかも正規のWi-Fiルーターから送信されたかのように見せかけたICMPリダイレクトメッセージを、AP経由で被害者に送信できます。これにより、被害者のデバイスは最終的にネットワークトラフィックをスパイの支配下にあるシステムにリダイレクトし、悪意のある人物はWi-Fiトラフィックを盗聴して監視できるようになります。
研究論文の図...これは、APへのICMPリダイレクトメッセージが被害者に中継され、被害者が経路を変更してトラフィックデータを攻撃者に漏らす様子を示しています。
「細工されたICMPリダイレクトメッセージは常に被害者に転送可能であることが分かりました」とコンピュータ科学者らは記している。「APや既存のセキュリティメカニズムではブロックできません。」
パフォーマンスを考慮して、AP ルーターの NPU (例: Qualcomm IPQ5018、HiSilicon Gigahome Quad-core) は、受信した ICMP リダイレクトの偽のメッセージを被害者のサプリカントに直接転送します。
前述の通り、他にもいくつかのステップが存在します。例えば、開いているUDPポートの検出(興味深いことに、被害者のデバイスがICMPリダイレクトメッセージを受け入れるために必要なもの)や、WPA暗号化の解除などです。この攻撃のデモ動画と、必要なネットワークインタラクションを示した図表はこちらで公開されています。
研究者らは、10社のベンダーから55種類のAP製品をテストしたが、偽造されたICMPメッセージをブロックできた製品は1つもなかったと述べている。また、テストした122のWi-Fiネットワークのうち109(89%)がこの攻撃に対して脆弱であったと主張している。
この問題はNPUに存在するため、APベンダーはチップセットメーカーの協力を得て修復を行う必要があります。米国に拠点を置くQualcommは2021年末にこの脆弱性について報告を受け、昨年11月にアドバイザリを公開しました。
クアルコムは、顧客へのパッチ展開状況に関する詳細情報の提供要請にすぐには応じなかった。
研究者らによると、中国に拠点を置くHuawei傘下のHiSiliconにも報告済みとのことだ。また、論文で言及されているAPベンダー10社のうち6社が、自社製品にこの脆弱性が存在することを確認している。しかしながら、影響を受ける無線APの中には、未だにパッチが適用されていないものもある。
偽装されたICMPリダイレクトメッセージをフィルタリング・ブロックするNPUベースの緩和策に加え、研究者たちはクロスレイヤーネットワークインタラクションにセキュリティチェックを追加することを提案しました。彼らはLinux 4.18でこれを実現するメカニズムのプロトタイプを作成し、その有効性を確認したと述べています。®
