Sicherheitslücke - Aruba Networks

DeAgg vulnerability - Advisory CVE-2020-24588
AA Technical Bulletin 210519-01


Download AATB-210519-01-DeAgg vulnerability Version 1 (pdf) >>


** Dieses Technical Bulletin soll keine Informationen oder Handlungsanweisungen des Herstellers ersetzen. Bitte betrachten Sie dieses Dokument als zusätzliche Informationsquelle, die Ihnen helfen soll, das Problem zu lösen. Bitte berücksichtigen Sie auch die neuesten vom Hersteller veröffentlichten Release Notes, um sicher zu sein, dass Ihre Umgebung für das Update qualifiziert ist.
**Bitte beachten Sie, dass das Upgrade der APs nur ein Teil der Lösung ist. Alle 802.11-ClientGeräte sollten aktualisiert werden. Nur ein vollständiges Upgrade aller Geräte gewährleistet die
Sicherheit hinsichtlich des 802.11 Security Advisory.

 

A. Einleitung
 A.01 Über die DeAgg-Sicherheitslücke
 A.02 Ursache
 A.03 Allgemeiner Lösungsweg
 A.04 Voraussetzungen
 A.05 Aeroaccess Risiko-Bewertung
 A.06 Detaillierte Beschreibung
 B. Aruba Bereitstellung
 B.01 Aruba Betroffene Geräte
 B.02 Aruba Lösung
 B.03 Aruba Workaround
 B.04 Aruba Implementierung
 B.05 Aktualisierung der Aruba Firmware
 C. Aeroaccess Empfehlung
 C.01 Hintergrundinformationen
 C.02 Pre-Test
 C.03 Vertragsstatus
 C.04 Empfehlung für Serviceeinheiten
 C.05  Implementierung Phase 1
 C.06  Implementierung Phase 2

 

A. Einleitung
A.01 Über die DeAgg-Sicherheitslücke
Am 11. Mai 2021 hat das Industry Consortium for Advancement of Security on the Internet (ICASI) die koordinierte Offenlegung einer Reihe von Sicherheitslücken im Zusammenhang mit der Funktionalität von Wi-Fi-Geräten angekündigt. Die Ausnutzung dieser Schwachstellen kann zu einer Daten-Exfiltration führen.


https://www.icasi.org/aggregation-fragmentation-attacks-against-wifi/


Bezüglich der oben aufgeführten Probleme betrifft nur CVE-2020-24588 die Access Points (APs) von Mist Networks. Bitte beachten Sie, dass alle Geräte mit 802.11-Chipsätzen, auch Client-Geräte, betroffen sind und upgegradet werden sollten. CVE-2020-24588 kann es einem Angreifer ermöglichen, beliebige Netzwerkpakete zu infiltrieren, die zum Spoofing von Servern und zur Durchführung von Man-in-theMiddle-Angriffen (MITM) in geschützten Wi-Fi-Netzwerken, einschließlich WEP, WPA, WPA2 und WPA3, verwendet werden können.


A.02 Ursache
Die DeAgg-Schwachstelle ist eine Sicherheitslücke, die im 802.11-Protokoll entdeckt wurde, insbesondere bei der Implementierung von aggregierten Frames. Die Schwachstelle könnte es einem Angreifer ermöglichen, das "is aggregated"-Flag im 802.11-Header umzudrehen, was dazu führen würde, dass die Nutzlast des Frames anders geparst wird und möglicherweise eine Paketinjektion ermöglicht.


A.03 Allgemeiner Lösungsweg
Im Allgemeinen besteht der Umfang dieser Angriffe darin, dass sie es einem Angreifer ermöglichen, L2- Frames, die er mehr oder weniger kontrollieren kann (je nach Schwachstelle und Angriffsmethode), in ein ansonsten geschütztes Netzwerk zu infiltrieren.
Exfiltrieren von (einigen) Netzwerkdaten unter bestimmten Bedingungen; dies ist spezifisch für die Fragmentierungsprobleme. Es ist bekannt, dass eine Teilmenge dieser Probleme auf die Linux IEEE 802.11-Implementierung (mac80211) zutrifft. Die beigefügten Patches beheben diese Probleme, auch wenn nicht alle von ihnen auf die genauen CVE-IDs verweisen. Zusätzlich können Treiber- und/oder Firmware-Updates erforderlich sein, sowie möglicherweise weitere Korrekturen für mac80211, je nachdem, wie die Treiber es verwenden.


A.04 Voraussetzungen
• Alle Geräte, die das 802.11-Protokoll mit einer Firmware verwenden, die nicht die entsprechenden Sicherheits-Patches enthält.
• Angreifer befindet sich in der Nähe der angegriffenen Geräte (Man-in-the-Middle).

 

A.05 Aeroaccess Risiko-Bewertung
Das Risiko eines erfolgreichen Angriffs ist MITTEL, da die Schwachstelle einen Angreifer erfordert, der eine Man-in-the-Middle-Position einnimmt, und auch einen Webserver unter der Kontrolle des Angreifers hat. Der Client müsste sich mit dem Man-in-the-Middle-AP verbinden und auf irgendeine Weise den Webserver des Angreifers besuchen. Anschließend wird ein speziell präpariertes Paket mit injizierten Daten gesendet, um weitere Angriffe auszuführen.


A.06 Detaillierte Beschreibung
Die Schwachstellen sind nicht voneinander abhängig. Das Ausnutzen einer der Sicherheitslücken ist nicht erforderlich, um eine andere Sicherheitslücke auszunutzen. Außerdem kann eine Softwareversion, die von einer der Sicherheitslücken betroffen ist, nicht von den anderen Sicherheitslücken betroffen sein. Es wurden Schwachstellen in der Implementierung des IEEE 802.11-Standards festgestellt. Diese Schwachstellen ermöglichen es einem Angreifer, schädliche Frames in eine legitime Wi-Fi-Verbindung einzuschleusen, unabhängig von der Art der verwendeten WLAN-Verschlüsselung.
Die erfolgreiche Ausnutzung dieser Schwachstellen führt zur Exfiltration sensibler Daten oder ermöglicht in Verbindung mit anderen bekannten Angriffen die Manipulation des Datenverkehrs. Beachten Sie, dass diese Sicherheitslücken auch drahtlose Client-Geräte betreffen können. Geräte, die nicht von Juniper/Mist hergestellt sind, verfügen möglicherweise ebenfalls über Fixes für diese Sicherheitslücken.


Der 802.11-Standard der hinter Wi-Fi Protected Access (WPA, WPA2 und WPA3) und Wired Equivalent Privacy (WEP) steht, benötigt keine Authentifizierung des A-MSDU-Flags im Klartext-QoS-Headerfeld. Der 802.11-Standard erlaubt die Fragmentierung von Datenframes, die größer als ein bestimmter Wert (bekannt als Fragmentierungsschwelle) sind, in mehr als eine MPDU für die Übertragung über die Luft. Auf dem empfangenden Gerät werden diese Fragmente dann wieder zum ursprünglichen Datenrahmen zusammengesetzt und an die höheren Schichten des Stacks weitergeleitet. Der MAC-Header enthält ein Unterfeld "Sequence Number" (SN) für die Reihenfolge der MPDUs, unabhängig davon, ob sie fragmentierte oder unfragmentierte Daten enthalten. Um die Fragmentierung zu erleichtern, enthält der MAC-Header neben der SN auch ein Unterfeld Fragment Number (FN) - Fragmente eines Datenrahmens haben die gleiche SN, aber unterschiedliche FN. Nach der Verschlüsselung haben die MPDUs auch eine Packet Number (PN), die wiederum eine fortlaufend ansteigende Nummer ist, die zur Überprüfung gegen Wiederholungen verwendet wird. Zusammengenommen wird erwartet, dass PN linear mit FN und SN ansteigt. Der Aruba Access Point prüft nicht, ob alle Fragmente eines Frames eine fortlaufende PN haben, d. h. ob die Fragmente tatsächlich zu demselben Frame gehören oder nicht. Folglich kann der Angreifer mit einer MitM-Technik (Machine-in-the-Middle) diese Schwachstelle missbrauchen, indem er Fragmente verschiedener Pakete mischt, um Nutzdaten zu entpacken.


Gegen Geräte, die den Empfang von Nicht-SSP-A-MSDU-Frames unterstützen (was als Teil von 802.11n obligatorisch ist), kann ein Angreifer dies missbrauchen, um beliebige Netzwerkpakete zu infiltrieren, durch Akzeptierung von Nicht-SPP-A-MSDU-Frames. Angreifer können dies ausnutzen und Geräte dazu bringen, Frames zu aggregieren, die scheinbar von der gleichen Quelle stammen, es aber nicht tun, was eine Manipulation der Nutzdaten ermöglicht.

Eine vollständige Beschreibung für die DEAGG VULNERABILITY finden Sie hier: https://papers.mathyvanhoef.com/usenix2021.pdf

 

Weitere Informationen finden Sie im beiliegenden FAQ-Dokument, das von Aruba veröffentlicht wurde:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-011-FAQ.pdf

 

 

 B. Aruba Bereitstellung
B.01 Aruba Betroffene Geräte
Alle Aruba Instant Access Points:
- Aruba Instant 6.4.x: bevor 6.4.4.8-4.2.4.19
- Aruba Instant 6.5.x: bevor 6.5.4.19 bevor 6.5.4.20 bei Einsatz von IAP-1xx Serie
- Aruba Instant 8.3.x: bevor 8.3.0.15 bevor 8.3.0.16 bei Einsatz von RAP-155 Serie
- Aruba Instant 8.5.x: bevor 8.5.0.12 bevor 8.5.0.13 bei Einsatz von RAP-155 Serie
- Aruba Instant 8.6.x: bevor 8.6.0.8 bevor 8.6.0.9 bei Einsatz von RAP-155 Serie
- Aruba Instant 8.7.x: bevor 8.7.1.2 Alle ArubaOS Access Points, wenn sie von Hardware- oder virtuellen Implementierungen von Aruba
Mobility Controllern (Standard oder FIPS) verwaltet werden:
- ArubaOS 6.4.x: bevor 6.4.4.25
- ArubaOS 6.5.x: bevor 6.5.4.19 bevor 6.5.4.20 bei Einsatz von AP-1xx Serie
- ArubaOS 8.3.x: bevor 8.3.0.15 bevor 8.3.0.16 bei Einsatz von AP-1xx Serie
- ArubaOS 8.5.x: bevor 8.5.0.12 bevor 8.5.0.13 bei Einsatz von AP-1xx Serie
- ArubaOS 8.6.x: bevor 8.6.0.8 bevor 8.6.0.9 bei Einsatz von AP-1xx Serie
- ArubaOS 8.7.x: bevor 8.7.1.2
Aruba Instant On:
- bevor 2.3.0


B.02 Aruba Lösung:
Unter dem folgenden Link finden Sie die Firmware-Versionen für die Aruba Access Points, die aktualisiert wurden, um dieses spezielle Problem (CVE-2020-24588) zu beheben.


B.03 Aruba Workaround
Es sind keine Workarounds für dieses Problem bekannt. Nur Upgrades auf freigegebene Versionen beheben die Probleme.


B.04 Aruba Implementierung
Vollständige Informationen zum Reporting von Sicherheitsschwachstellen in Produkten von Aruba Networks und zum Erhalt von Unterstützung bei Sicherheitsvorfällen finden Sie unter: http://www.arubanetworks.com/support-services/security-bulletins/


B.05 Aktualisierung der Aruba Firmware
Unter folgendem Link finden Sie entsprechende Informationen, welche Firmware-Version Sie einsetzen sollten, um das Problem zu lösen: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-011.txt

 

 

C. Aeroaccess Empfehlung
C01. Hintergrundinformationen
Diese Sicherheitslücken haben besondere Aktivitäten auf Seiten der Hersteller außerhalb ihrer geplanten Software-Releases verursacht. Auch wenn in diesem Fall die Hersteller einige Monate vorher informiert wurden, führt dies zu schnellen Aktivitäten, die nicht immer mit der Qualitätskontrolle von StandardReleases übereinstimmen. Um das Risiko für unsere Kunden zu reduzieren, insbesondere in produktionsoder geschäftskritischen Umgebungen, hat Aeroaccess zusätzliche Maßnahmen durchgeführt, um die neuen Firmware-Releases zu implementieren und zu testen.


C.02 Pre-Test
Gleich nach der Veröffentlichung der koordinierten Offenlegung einer Reihe von Sicherheitslücken hat Aeroaccess verschiedene Pre-Tests in unserer Laborumgebung durchgeführt, um Interoperabilitätsprobleme oder andere Probleme zu finden.


Zusammenfassung:
• wir haben keine Probleme während des Update-Vorgangs gefunden.
• ein Downgrade auf die empfohlene Version war möglich
• ein Downgrade auf die vorherige Version war ebenfalls möglich
• wir haben keine Probleme bei der Verbindung der APs nach einem Neustart festgestellt (maximal zwei Neustarts)
• wir haben keine Probleme mit dem Durchsatz und der Kapazität der APs festgestellt
• wir haben keine Probleme bei der Verbindung der Clients mit den APs festgestellt (begrenzte Anzahl von Lab-Clients).
• wir haben keine Probleme mit der Resolution von DHCP und DNS gefunden (auch ARP)
• wir haben keine Probleme bei der Verbindung mit der Privat Cloud festgestellt
• Wir haben keine Probleme mit dem Roaming der Clients festgestellt
• wir haben keine Probleme mit der Client-Association, Uplink und Downlink gefunden


C.03 Vertragsstatus
Für die Kunden, die keinen gültigen Servicevertrag für die betroffenen Produkte haben, sagt Aruba: "Unter diesen Umständen wird Aruba Software-Updates für jeden bereitstellen, der sie anfordert, unabhängig vom Status des Supportvertrags. Kontaktieren Sie den Aruba-Support über eine der Telefonnummern, die unter folgendem Link gelistet sind http://www.arubanetworks.com/supportservices/contact-support/."


Für Kunden mit einem gültigen Servicevertrag (PBS, FC) für die betroffenen Produkte ist Aeroaccess berechtigt, die empfohlene Firmware-Version auf Anfrage zu liefern. 

 

Für die Kunden mit gültigem Premium Service Vertrag (APS) für die betroffenen Produkte bietet Aeroaccess proaktive Update-Verfahren und Support zum individuellen Kundenstatus an.

 

C.04 Empfehlung für Serviceeinheiten
Für den Fall, dass das Upgrade nicht funktioniert und einen Hardware-Ausfall verursacht, sollten Sie Ersatzgeräte zur Verfügung haben, um Ihre geschäftskritischen Funktionen sicherzustellen. Wenn Ihr bestehender Vertrag mit Aeroaccess den Advanced Hardware Replacement (AHR) nicht abdeckt, wenden Sie sich bitte an unseren Vertrieb (sales@aeroaccess.de), um ein Angebot für den AHR-Service zu erhalten.


C.05 Implementierung Phase 1
Sie sollten planen, das neue Firmware-Update zuerst im Labor oder in einer nicht produktionskritischen Umgebung einzusetzen. Da diese Schwachstellen alle drahtlose Client-Geräte betreffen, auch die Geräte, die nicht von Aruba hergestellt sind, sollten diese ebenfalls Fixes für diese Schwachstellen erhalten. Stellen Sie sicher, dass Sie alle Ihre Wireless-Client-Geräte in dieser Laborumgebung testen, um die
interne Funktionsfähigkeit zu gewährleisten.


Für die Kunden mit gültigem Premium Service Vertrag (APS) für die betroffenen Produkte bietet Aeroaccess individuelle Tests mit ihrer Konfiguration im Aeroaccess Lab an.


C.06 Implementierung Phase 2
Bevor Sie mit der endgültigen globalen Implementierung beginnen, sollten Sie Ihre Umgebung auf das Update vorbereiten und für einen kurzen Netzwerkausfall (globaler Neustart aller APs) bereit sein. Wenn Sie unseren direkten Telefonsupport benötigen, stellen Sie bitte vor Beginn des Upgrades sicher, dass Ihr Vertrag diese Option abdeckt. In anderen Fällen fragen Sie bitte ein Angebot für den Support durch einen Technical Service Engineer (TSE) pro Stunde an (sales@aeroaccess.de).


Für die Kunden mit gültigem Premium-Service-Vertrag (APS) für die betroffenen Produkte bietet Aeroaccess individuelle Support-Fenster an, um die Implementierung zu planen und um sicherzustellen, dass einer unserer TSE Sie bei diesem Vorgang unterstützt. Wir werden uns in den nächsten Tagen mit Ihnen in Verbindung setzen, um die komplette Vorgehensweise zu besprechen und den Zeitrahmen für das Update zu definieren.


Für detaillierte Beschreibungen und Anleitungen zu den verschiedenen verfügbaren UpgradeVerfahren wenden Sie sich bitte an unser Support-Team unter support@aeroaccess.de

 

Aeroaccess unterstützt Sie gerne und gibt Ihnen entsprechende Anleitungen.
*Falls Sie ein Angebot für direkten Herstellersupport erhalten, liegt es in Ihrer Verantwortung und Entscheidung, wie Sie vorgehen

 

 


nach
oben