- Автор темы
- #1
ИБ-специалисты представили серию атак AirSnitch, которые эксплуатируют проблемы сетевого стека и позволяют обойти изоляцию клиентов в Wi-Fi-сетях. Проблема затрагивает роутеры Netgear, D-Link, Ubiquiti, Cisco, а также устройства на базе DD-WRT и OpenWrt.
Исследование было представлено на конференции Network and Distributed System Security Symposium 2026. Его авторы Синьань Чжоу (Xin'an Zhou) и Мати Ванхоф (Mathy Vanhoef) рассказывают, что атаки AirSnitch принципиально отличаются от прежних атак на Wi-Fi вроде KRACK: если они были направлены на уязвимости в криптографических протоколах Wi-Fi, то AirSnitch эксплуатирует ранее неизученную поверхность атаки — нижние уровни сетевого стека (Layer 1 и Layer 2) и рассинхронизацию идентификации клиента между этими и более высокими уровнями.
Ванхоф объясняет, что речь идет не о взломе криптографии, а об обходе (bypass) клиентской изоляции — защиты, которую обещают все производители роутеров и которая должна блокировать прямое взаимодействие между подключенными клиентами.
Самый мощный вариант AirSnitch — полноценная двунаправленная MitM-атака. В ее рамках атакующий может просматривать и модифицировать трафик жертвы, до того, как тот попадет к предполагаемому получателю, находясь в том же SSID, в другом SSID или даже в отдельном сегменте сети — при условии, что все они связаны с одной точкой доступа.
Технически атака начинается с port stealing — адаптированной для Wi-Fi классической Ethernet-техники. Атакующий подменяет маппинг MAC-адреса жертвы на Layer 1, подключаясь к BSSID на другой частоте, которую не использует жертва (обычно 2,4 или 5 ГГц), и завершает четырехсторонний хендшейк Wi-Fi. В результате коммутатор на Layer 2 начинает пересылать трафик жертвы атакующему, шифруя его ключом PTK злоумышленника. Для восстановления исходного маппинга и получения двунаправленного MitM используется ICMP-пинг с рандомного MAC, зашифрованный с помощью Group Temporal Key.
Другие варианты атак AirSnitch обходят изоляцию клиентов и в корпоративных сетях, где каждый клиент имеет уникальные учетные данные и используется мастер-ключ шифрования. Атака масштабируется на несколько точек доступа, если те связаны общей проводной инфраструктурой (distribution system).
Также исследователи показали, что AirSnitch позволяет скомпрометировать RADIUS — централизованный протокол аутентификации, используемый в корпоративных сетях. Подменив MAC-адрес шлюза, атакующий может перехватывать RADIUS-пакеты, взломать аутентификатор сообщений и узнать shared passphrase, а затем поднять поддельный RADIUS-сервер и точку доступа WPA2/3.
Исследователи протестировали 11 устройств, включая Netgear Nighthawk x6 R8000, D-Link DIR-3040, TP-Link Archer AXE75, Asus RT-AX57, Ubiquiti AmpliFi Alien Router, Cisco Catalyst 9130 и OpenWrt 24.10. Каждое из них оказалось уязвимо хотя бы перед одним вариантом атаки AirSnitch. Некоторые производители уже выпустили исправления, однако часть обнаруженных проблем связана с особенностями железа, и исправить их на уровне прошивки нельзя.
Что касается защиты от AirSnitch, VPN помогает лишь частично, так как зачастую пропускает метаданные и DNS-запросы. VLAN-изоляция между SSID тоже ненадежна: Чжоу отмечает, что такие настройки легко сконфигурировать неправильно, а Мур подчеркивает, что VLAN вряд ли станет надежным барьером против любых вариантов AirSnitch.
Наиболее эффективным подходом исследователи считают модель Zero Trust, однако она сложна в реализации даже для крупных организаций.
При этом для проведения атак AirSnitch атакующему нужен доступ к Wi-Fi-сети, что снижает угрозу по сравнению, например, с атаками на WEP. Мур считает, что пока кто-нибудь не напишет удобный инструмент для автоматизации атак AirSnitch, злоумышленникам будет проще поднять фальшивую точку доступа и провести атаку типа evil twin.
Исследование было представлено на конференции Network and Distributed System Security Symposium 2026. Его авторы Синьань Чжоу (Xin'an Zhou) и Мати Ванхоф (Mathy Vanhoef) рассказывают, что атаки AirSnitch принципиально отличаются от прежних атак на Wi-Fi вроде KRACK: если они были направлены на уязвимости в криптографических протоколах Wi-Fi, то AirSnitch эксплуатирует ранее неизученную поверхность атаки — нижние уровни сетевого стека (Layer 1 и Layer 2) и рассинхронизацию идентификации клиента между этими и более высокими уровнями.
Ванхоф объясняет, что речь идет не о взломе криптографии, а об обходе (bypass) клиентской изоляции — защиты, которую обещают все производители роутеров и которая должна блокировать прямое взаимодействие между подключенными клиентами.
Самый мощный вариант AirSnitch — полноценная двунаправленная MitM-атака. В ее рамках атакующий может просматривать и модифицировать трафик жертвы, до того, как тот попадет к предполагаемому получателю, находясь в том же SSID, в другом SSID или даже в отдельном сегменте сети — при условии, что все они связаны с одной точкой доступа.
Технически атака начинается с port stealing — адаптированной для Wi-Fi классической Ethernet-техники. Атакующий подменяет маппинг MAC-адреса жертвы на Layer 1, подключаясь к BSSID на другой частоте, которую не использует жертва (обычно 2,4 или 5 ГГц), и завершает четырехсторонний хендшейк Wi-Fi. В результате коммутатор на Layer 2 начинает пересылать трафик жертвы атакующему, шифруя его ключом PTK злоумышленника. Для восстановления исходного маппинга и получения двунаправленного MitM используется ICMP-пинг с рандомного MAC, зашифрованный с помощью Group Temporal Key.
Перехват трафика особенно опасен, если соединение не защищено HTTPS. По данным Google, до 6% страниц на Windows и до 20% на Linux загружаются без шифрования — в таких случаях атакующий видит весь трафик в открытом виде, включая cookie, пароли и данные платежных карт. И даже при наличии HTTPS злоумышленник может перехватывать DNS-запросы и осуществлять отравление DNS-кеша.
Другие варианты атак AirSnitch обходят изоляцию клиентов и в корпоративных сетях, где каждый клиент имеет уникальные учетные данные и используется мастер-ключ шифрования. Атака масштабируется на несколько точек доступа, если те связаны общей проводной инфраструктурой (distribution system).
Также исследователи показали, что AirSnitch позволяет скомпрометировать RADIUS — централизованный протокол аутентификации, используемый в корпоративных сетях. Подменив MAC-адрес шлюза, атакующий может перехватывать RADIUS-пакеты, взломать аутентификатор сообщений и узнать shared passphrase, а затем поднять поддельный RADIUS-сервер и точку доступа WPA2/3.
Исследователи протестировали 11 устройств, включая Netgear Nighthawk x6 R8000, D-Link DIR-3040, TP-Link Archer AXE75, Asus RT-AX57, Ubiquiti AmpliFi Alien Router, Cisco Catalyst 9130 и OpenWrt 24.10. Каждое из них оказалось уязвимо хотя бы перед одним вариантом атаки AirSnitch. Некоторые производители уже выпустили исправления, однако часть обнаруженных проблем связана с особенностями железа, и исправить их на уровне прошивки нельзя.
Что касается защиты от AirSnitch, VPN помогает лишь частично, так как зачастую пропускает метаданные и DNS-запросы. VLAN-изоляция между SSID тоже ненадежна: Чжоу отмечает, что такие настройки легко сконфигурировать неправильно, а Мур подчеркивает, что VLAN вряд ли станет надежным барьером против любых вариантов AirSnitch.
Наиболее эффективным подходом исследователи считают модель Zero Trust, однако она сложна в реализации даже для крупных организаций.
При этом для проведения атак AirSnitch атакующему нужен доступ к Wi-Fi-сети, что снижает угрозу по сравнению, например, с атаками на WEP. Мур считает, что пока кто-нибудь не напишет удобный инструмент для автоматизации атак AirSnitch, злоумышленникам будет проще поднять фальшивую точку доступа и провести атаку типа evil twin.