18 октября 2017

Уязвимости WPA2 могут быть использованы для атак на промышленные системы

16 октября была раскрыта информация о критических уязвимостях протокола WPA2, которые позволяют обойти защиту и прослушивать передаваемый Wi-Fi трафик. Согласно опубликованному отчету, группой исследователей выявлены серьезные проблемы в механизме управления ключами в четырехэлементном хендшейке WPA2. Фактически, атака, получившая название KRACK (Key Reinstallation Attack), позволяет злоумышленнику осуществить атаку типа Man-in-the-Middle и принудить подключенные к сети устройства выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. Помимо WPA2, атака работает и против устаревшего WPA.

Степень воздействия на передаваемую информацию зависит от применяемого режима шифрования. Так, при использовании WPA-TKIP или GCMP злоумышленник сможет не только расшифровывать трафик WPA2 или проводить атаки типа replay, что актуально и при использовании AES-CCMP, но и осуществлять инжекты произвольных фальсифицированных пакетов в данные жертвы.

По мнению исследователей Kaspersky Lab ICS CERТ, выявленные уязвимости протокола WPA2 могут быть использованы, в том числе, для реализации атак на системы промышленной автоматизации. Так, существует ряд ПЛК, применяющих технологию Wi-Fi для беспроводной настройки и управления. Однако, в основном, проблема безопасности WPA2 затрагивает сетевые устройства, смартфоны и планшеты, которые используются инженерами и операторами для удаленного доступа к АСУ ТП.

В целом, угроза MitM-атак уже давно являлась для промышленных сетей актуальной проблемой. В отличие от персональных операционных систем, в которых уже исправлено большинство уязвимостей в реализациях сетевых протоколов транспортного уровня, в программном обеспечении промышленного оборудования до сих пор остается множество уязвимостей, позволяющих осуществить перехват и внедрение трафика (таких как использование предсказуемых ISN для TCP пакетов, reusing the nonce и т.п.). И выявленные уязвимости в реализациях протокола WPA2 открывают еще одну возможность для MitM-атак на промышленные сети, использующие Wi-Fi для управления промышленным оборудованием.

Поскольку уязвимости WPA2 были найдены на уровне протокола, KRACK-атака затрагивает большинство Wi-Fi-устройств вне зависимости от используемой операционной системы. Наиболее уязвимыми являются устройства под управлением операционных систем Android 6.0, Android Wear 2.0 и Linux (при использовании пакетов wpa_supplicant v 2.4 и 2.5). Другие операционные системы, включая OS X, iOS и Windows, также подвержены атакам.

Говоря о прямом воздействии на технологический процесс, необходимо отметить, что Wi-Fi используется на таких промышленных объектах, как склады (включая порты и сортировочные терминалы), а также в логистике и при автоматизации производства (особенно в медицинской и пищевой промышленности), в том числе для сбора данных в рамках технического и коммерческого учета. Несанкционированный доступ к такой информации, полученный злоумышленниками после расшифровки Wi-Fi трафика, может привести к серьезным последствиям, вплоть до временной остановки процесса транспортировки грузов и потери продукции.

Как правило, даже полный запрет Wi-Fi на территории промышленных предприятий не решает проблему. Наличие неконтролируемых беспроводных сетей и прямого подключения беспроводных маршрутизаторов к сети управления являются типовыми нарушениями, выявляемыми в ходе аудита ИБ АСУ ТП.

Таким образом, выявленные уязвимости протокола WPA2 создают новую «точку входа» и значительно расширяют площадь возможных атак на системы АСУ ТП. Поэтому вендорам систем промышленной автоматизации стоит обратить пристальное внимание на выявленные проблемы безопасности WPA2 и провести оценку актуальности обнаруженных уязвимостей для своих продуктов.

В настоящее время некоторые производители, такие как Ars, Aruba, Ubiquiti, Mikrotik, уже выпустили соответствующие исправления безопасности. Эксперты Kaspersky Lab ISC CERT советуют компаниям проверять наличие патчей и своевременно их устанавливать.

До выхода и установки патчей при передаче данных по Wi-Fi рекомендуется использовать шифрование, не связанное с беспроводной передачей данных, например, SSL (SSH, VPN и проч.), которое обеспечит защиту информации даже в случае компрометации Wi-Fi.

Кроме того, предприятиям следует снизить риски компрометации корпоративных Wi-Fi-сетей, которые могут быть использованы злоумышленниками в качестве одного из векторов атак на сети АСУ ТП, а также следовать стандартным рекомендациям, включающим:

  • сегментацию и межсетевое экранирование;
  • проведение регулярного аудита беспроводных сетей для выявления несанкционированных беспроводных сетей.

Источники: www.mathyvanhoef.com, «Лаборатория Касперского»