背景

早在2019年4月，研究人员就对WPA3协议的底层Dragonfly握手协议进行安全行分析，并发现在更安全的WPA 3协议中，攻击者仍然可以对恢复出部分密码。如果受害者没有使用HTTPS这样的额外保护方法，攻击者就可以窃取密码、邮箱这样的敏感信息。

近日，Wi-Fi联盟为缓解相关漏洞提出了安全建议。其中声明Brainpool curves在产品安全实现Dragonfly的quadratic residue test时是安全的。但研究人员发现Brainpool curves会引发Dragonfly握手协议的第二类测信道泄露。即使遵从了WiFi联盟的安全建议，仍然存在被攻击的风险。

研究人员在最新研究中发现的第一个漏洞是CVE-2019-13377，这是在使用Brainpool curve时针对WPA3 Dragonfly握手的基于时间的测信道攻击漏洞。第二个漏洞是CVE-2019-13456，这是在许多超过10轮循环时终止导致的FreeRADIUS 的EAP-pwd信息泄露。

WPA3漏洞分析

WPA3协议的设计漏洞可以分为2类，第一类是针对WPA3设备的降级攻击，第二类是WPA3 Dragonfly握手过程的漏洞，这在WiFi标准中也叫做Simultaneous Authentication of Equals (SAE)握手。攻击者利用这些漏洞可以会付出WiFi网络的密码，发起资源消耗型攻击，强制设备使用若安全组。以上提到的所有攻击都是针对家用网络，如WPA3-Personal的。研究人员发现的WPA3漏洞包括：

CERT ID #VU871675: WPA3-Transtition模式降级攻击导致的词典攻击；

CERT ID #VU871675:针对WPA3 Dragonfly握手的安全组降级攻击；

CVE-2019-9494:针对WPA3 Dragonfly握手的基于时间的测信道攻击；

CVE-2019-9494: 针对WPA3 Dragonfly握手的基于缓存的测信道攻击；

CERT ID #VU871675: 针对WPA3 Dragonfly握手的资源消耗攻击，如DOS。

攻击是非常高效而又低成本的。比如，降级攻击可以使用现有的WPA2破解工具和硬件。测信道漏洞可以被用来执行暴力破解攻击，词典使用Amazon EC2实例的话可能只需要1美元。

EAP-pwd漏洞

EAP-pwd协议内部也使用Dragonfly，提供特定企业WiFi网络中基于用户名和密码的认证。因此，WPA3中所有的攻击都可用于EAP-pwd。研究人员在EAP-pwd实现的测试中发现都易受到无效的curve攻击，也就是说攻击者可以完全绕过认证。大多数的实现还会受到反射攻击的影响。总的来说，EAP-pwd实现受到以下漏洞的影响：

CERT ID #VU871675: hostapd和wpa_supplicant攻击；

CVE-2019-9495: 针对hostapd和wpa_supplicant的EAP-pwd实现的基于缓存的侧信道攻击；

CVE-2019-9497: 针对hostapd和wpa_supplicant的EAP-pwd实现的反射攻击；

CVE-2019-9498: 针对hostapd EAP-pwd服务器的无效curve攻击导致的认证绕过；

CVE-2019-9499: 针对wpa_supplicant EAP-pwd客户端的无效curve攻击导致的服务器假冒；

CVE-2019-11234: 针对FreeRADIUS EAP-pwd实现的反射攻击；

CVE-2019-11235: 针对FreeRADIUS EAP-pwd服务器无效curve攻击导致的认证绕过。

研究人员对EAP-pwd实现的测试包括FreeRADIUS、Radiator、Aruba EAP-pwd for Windows、iNet Wireless Daemon。