Kr00k
Kr00k が RSA Conference 2020 で発表されました。YouTubeにプレゼンがアップされてます。
https://www.youtube.com/watch?v=_40E6WRMRyE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15126
Kr00k は WPA/WPA2 の 4-way handshake に関する脆弱性で、Broadcom および Cypress の無線チップを搭載した端末や AP に影響をします。具体的には、disassociation フレームを受信後、暗号キーをすべて0でクリアし、その際に、送信バッファーにフレームが溜まっていれば、すべて0の暗号キーで暗号してフレームを送信します。そのため、悪意を持ったユーザが、disassociation フレームを送信し、無線空間をキャプチャする等して取得し、復号することが可能です。現在の所、Broadcom および Cypress の無線チップから修正コードは出てません(2020.3.8 現在)。
WPA/WPA2 の脆弱性と言えば、2017年に発表された KRACK があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13080
KRACK はプロトコルの脆弱性で全ての端末や AP に影響し、攻撃に成功すると無線フレームを盗み見ることが可能で、影響度が広く、深刻度も高いこともあり、WPA3 が制定されるきっかけとなりました。
一方で、Kr00k は disassociation フレームを受信後の送信バッファー溜まっていたフレームのみ盗み見ることが可能です。送信バッファーに溜まる条件としてはいろいろ考えられますが、通信が大量に発生している、無線空間が一杯である、低速度の無線規格を使用している等が考えらえます。KRACK と比較すると、影響度はかなり低いと思います。
各ベンダーの深刻度です。
- KRACK -> High
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa - Kr00k -> Midium
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
Aruba
- KRACK -> Medium
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt - Kr00k -> Low
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-003.txt
KRACK、Kr00k ともに言えることは、まずは通信をHTTPS等で暗号化しましょうということですね。上位レイヤで暗号していれば、無線フレームを復号できたとしても、HTTPSで暗号化されているので、見えませんので。
2020/3/14 追記:
3/13付けでアルバの情報が更新されました。さっそくパッチがリリースされるみたいです。
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-003.txt
[English Version]
Kr00k is published in RSA Conference 2020. The video is uploaded on Youtube.
https://www.youtube.com/watch?v=_40E6WRMRyE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15126
Kr00k is about WPA/WPA2 4-way handshake vulnerability and affected to station/AP with Broadcom and Cypress chipset. For technically, after receiving a disassociation frame, station/AP resets encryption key as all 0 (zero). If frames are in tx buffer, then station/AP encrypts these frames with all 0 key and sends to air space. Hence, a malicious user sends a disassociation frame and then can decrypt the frames. Fix code is not released from neither Broadcom nor Cypress (as of March 8th, 2020).
You may remember KRACK, which was published in 2017.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13080
KRACK is also about WPA/WPA2 protocol vulnerability and affects all station/AP. KRACK influenced all over the WiFi vendors and users and one of the triggers to WPA3.
From my point of view, Kr00k is very limited effect because a malicious user can decrypt the frames which are in tx buffer in station/AP after disassociation frame. I mean, a malicious user can see a small amount of frames only and the condition is limited. From Cisco and Aruba Severity, Kr00k is less than KRACK.
- KRACK -> High
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa - Kr00k -> Midium
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
Aruba
- KRACK -> Medium
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt - Kr00k -> Low
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-003.txt
Ether way, encryption in the application layer is import like HTTPS. If a malicious user can decrypt wireless frames, s/he can not decrypt in the application layer.
14th Mar 2020 added:
On 13th Mar, Aruba has announced they will provide the patches with the fix.
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-003.txt
