ESET研究人员在主流的客户端设备、路由器和访问点AP设备的WiFi芯片中发现一个安全漏洞，漏洞CVE编号为CVE-2019-15126，该漏洞可以用来部分解密用户通信，并泄露无线网络包中的数据。

Broadcom和Cypress等设备组件受到该漏洞的影响，而这些组件植入在手机、平板、笔记本和IOT小设备中。根据初步估计，有超过10亿设备受到该漏洞的影响。

All-zero（全0） session key

Kr00k漏洞影响使用AES-CCMP加密来保证数据机密性和完整性的WPA2-Personal和WPA2-Enterprise协议。研究人员解释称，利用该漏洞可以使用all-zero（全0）加密密钥来加密部分用户通信。

该漏洞与2017年10月发现的KRACK (Key Reinstallation Attack)漏洞有关联，KRACK是WPA2协议中4次握手中的一个漏洞。最初，研究人员认为Kr00k可能是all-zero（全0） 加密密钥重安装的可能原因。

设备会与AP在多个阶段建立连接，其中WPA2协议通过Pre-Shared Key (预共享密钥PSK)保证了通信双方的多次认证，而PSK就是WiFi密码。

4次握手的过程建立了确保数据完整性和机密性的加密密钥，其中一个是Pairwise Transient Key (PTK)。PTK会被分割成不同的key以实现不同的功能。

与Kr00k漏洞利用相关的环境是128位的Temporal Key (临时密钥，TK)，TK会加密客户端和AP之间的多播数据帧。

当客户端从一个点到另一个点时可能会连接到多个AP（association, reassociation），由于干扰断开连接（disassociation）。

研究人员解释说，Kr00k发生在disassociation阶段之后，也就是说保存在WiFi芯片中的TK会被置为0，即在内存中被清空。

虽然这是一个正常的过程，但是在用all-zero（全0） TK加密后发送芯片的传输缓存（Tx）中遗留的数据帧并不正常。

与KRACK不同的是，KRACK是4次握手时发生的攻击，而Kr00k是一个在触发了disassociation状态后可以被利用的漏洞。

漏洞利用的可能性

通过触发目标设备上的disassociation状态可以利用该漏洞，而通过deauthentication攻击来触发是很简单的。deauthentication攻击需要受害者设备的MAC地址，并发送未加密状态和未认证状态的管理数据帧。

攻击者可以拦截传输缓存中的数据帧，并解密，实现获取敏感信息的目的。研究人员称，即使攻击者没有连接到网络，使用监控模式的WNIC也可以发起攻击。

受害者附近的攻击者可以持续触发disassociation来获取含有敏感信息的网络数据包，比如DNS、ARP、ICMP、HTTP和TCP。

利用Kr00k获取的WLAN流量

受影响的产品

考虑到Broadcom芯片广泛应用于WiFi设备中，Cypress应用于IoT设备中，研究人员粗略估算目前有超过10亿设备受到影响。

研究人员发现以下设备受到Kr00k漏洞的影响：

· Amazon Echo 2代

· Amazon Kindle 8代

· Apple iPad mini 2

· Apple iPhone 6, 6S, 8, XR

· Apple MacBook Air Retina 13-inch 2018

· Google Nexus 5

· Google Nexus 6

· Google Nexus 6S

· Raspberry Pi 3

· Samsung Galaxy S4 GT-I9505

· Samsung Galaxy S8

· Xiaomi Redmi 3S

· Asus RT-N12

· Huawei B612S-25d

· Huawei EchoLife HG8245H

· Huawei E5577Cs-321

研究人员称未在Qualcomm, Realtek, Ralink, Mediatek的WiFi芯片中发现该漏洞。目前Broadcom和 Cypress已经发布了固件补丁给相关厂商。研究人员建议用户尽快安装相关补丁。

The Industry Consortium for Advancement of Security on the Internet (ICASI，促进互联网安全企业论坛)也将相关问题通知了其他厂商，以确保其他WiFi芯片厂商了解Kr00k漏洞，并检查其产品是否受到该漏洞的影响。

ESET将在RSA大会和3月初的Nullcom会议上发布相关研究成果。

更多技术细节参见https://www.eset.com/int/kr00k/和https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf。

本文翻译自：https://www.bleepingcomputer.com/news/security/kr00k-bug-in-broadcom-cypress-wifi-chips-leaks-sensitive-info/如若转载，请注明原文地址