Aviso de vulnerabilidade em chipsets de roteadores sem fio

Visão geral

CVE-2019-18989 ,  CVE-2019-18990 e  CVE-2019-18991  referem – se a uma vulnerabilidade de desvio de autenticação parcial que afeta os seguintes chipsets em dispositivos diferentes dos fabricantes listados:

• Mediatek:
  • Chipset: MT7620N
  • Dispositivos testados: D-Link DWR-116 V1.06 (EU)
• Qualcomm (Atheros):
  • Chipset: AR9132
  • Dispositivos testados: Zyxel NBG460N V3.60 (AMX.8)
  • Chipset: AR9283
  • Dispositivos testados: Buffalo WHR-G300N V2 V1.85 (R1.18 / B1.03)
  • Chipset: AR9285
  • Dispositivos testados: Netgear WNR1000 V.1.0.0.12NA
• Realtek:
  • Chipset: RTL8812AR
  • Dispositivos testados: D-Link DIR-850L V1.21WW
  • Chipset: RTL8196D
  • Dispositivos testados: Netwjork N + 4G V1.0.0
  • Chipset: RTL8881AN
  • Dispositivos testados: D-Link DIR-809 Rev A3 V1.09 Rev A2
  • Chipset: RTL8192ER
  • Dispositivos testados: D-Link DIR-605L H / W: B2 V2.10

Nota: a Synopsys não conseguiu identificar uma lista abrangente de dispositivos e chipsets vulneráveis. Os chipsets vulneráveis ​​podem estar embutidos em outros dispositivos que a Synopsys não conseguiu adquirir.

Depois de completar as divulgações com cada um desses fabricantes, a Synopsys confirmou as seguintes respostas:

• Mediatek e Realtek: Patches serão disponibilizados mediante solicitação.
• Qualcomm (Atheros): Todos os chipsets identificados chegaram ao fim de sua vida útil e foram descontinuados. Todos os chipsets suportados foram verificados pelo fabricante como não afetados por esta vulnerabilidade.

Além disso, a Synopsys envolveu todos os fabricantes dos dispositivos testados como parte desta divulgação. Depois de envolver cada fabricante, a Synopsys recebeu uma resposta apenas da Zyxel. No entanto, a Mediatek notificou a D-Link sobre este assunto durante o processo de divulgação. Tanto a D-Link quanto a Zyxel confirmaram que os patches com a correção existem e serão disponibilizados.

Impacto

A vulnerabilidade permite que um invasor injete pacote (s) em uma rede protegida por WPA2 sem o conhecimento da chave pré-compartilhada. Na injeção, esses pacotes são roteados pela rede como seriam os pacotes válidos, e as respostas aos pacotes injetados retornam criptografadas. No entanto, como um invasor pode controlar o que é enviado pela rede, ele pode, eventualmente, verificar se os pacotes injetados alcançaram com sucesso um sistema ativo.

Por exemplo, como prova de conceito, os pesquisadores da Synopsys foram capazes de abrir uma porta UDP no NAT do roteador injetando pacotes UDP em uma rede protegida por WPA2 vulnerável. Os pacotes são roteados pela Internet pública e, eventualmente, são recebidos por um host controlado pelo invasor ouvindo em uma porta UDP definida. Depois de receber essa resposta, o host controlado pelo invasor pode usar essa porta UDP aberta para se comunicar de volta com a rede vulnerável.

• Pontuação geral do CVSSv3: 6,1
• CVSS: 3.0 / AV: A / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
• CWE-287

Detalhes técnicos

Um invasor pode enviar pacotes não criptografados arbitrariamente e receber respostas criptografadas. Esses pacotes não criptografados são enviados de um endereço MAC falsificado. O ponto de acesso vulnerável não descarta os pacotes de texto simples e os roteia para a rede como se fossem válidos. A resposta também é recebida de volta, mas é criptografada. O único requisito é que haja outro cliente devidamente autenticado conectado à rede WPA2.

Remediação

Os fabricantes de pontos de acesso que incluem o chipset identificado podem solicitar patches da Mediatek e da Realtek.

Os usuários finais com pontos de acesso que incluem o chipset identificado e versões de firmware são fortemente encorajados a atualizar o mais rápido possível ou substituir pontos de acesso vulneráveis ​​por outro ponto de acesso.

Crédito de descoberta

Uma equipe de pesquisadores do  Synopsys Cybersecurity Research Center (CyRC)  em Oulu, Finlândia, descobriu este problema com o conjunto de testes Defensics 802.11 WPA AP:

• Tuomo Untinen
• Kari Hulkko

Linha do tempo

• Realtek:
  • Divulgação inicial: 8 de março de 2019
  • Realtek confirma que a correção está disponível: 19 de setembro de 2019
  • O Realtek confirma que a correção será disponibilizada sob demanda: 18 de outubro de 2019
• Qualcomm (Atheros):
  • Divulgação inicial: 29 de abril de 2019
  • Qualcomm (Atheros) declara aceitação de risco: 8 de outubro de 2019
  • Qualcomm (Atheros) reafirma que as versões atualmente suportadas não foram afetadas: 29 de outubro de 2019
• Mediatek:
  • Divulgação inicial: 8 de julho de 2019
  • Mediatek confirma que a correção está disponível: 25 de setembro de 2019
  • Mediatek confirma que a D-Link criou um patch: 7 de novembro de 2019
• Zyxel:
  • Engajamento inicial: 19 de novembro de 2019
  • Divulgação inicial: 22 de novembro de 2019
  • Zyxel confirma que uma correção foi criada: 3 de fevereiro de 2020
• Outros fabricantes de pontos de acesso:
  • Engajamento inicial: 19 de novembro de 2019
  • Acompanhamento: 7 de janeiro de 2020

Divulgação pública: 28 de setembro de 2020

Fonte: https://www.synopsys.com/blogs/software-security/cyrc-advisory-sept2020/