Специалисты по кибербезопасности забили тревогу о новообнаруженной уязвимости в бесплатном программном обеспечении для Wi-Fi на открытом коде. Эта уязвимость открывает путь хакерам для проникновения в защищенные беспроводные сети или создания фальшивых сетей, к которым могут подключаться пользователи.
Ключевые уязвимости
Исследование, проведенное Top10VPN, выявило две уязвимости в программном обеспечении на открытом коде wpa_supplicant и Intel iNet Wireless Daemon (IWD), которые затрагивают устройства на базе Android, Linux и ChromeOS. Эти уязвимости позволяют злоумышленникам привлекать пользователей в подконтрольные хакерам “клонированные” сети или подключаться к легитимным сетям без использования пароля.
Аудит безопасности выявляет проблемы
Уязвимости, получившие индексы CVE-2023-52160 и CVE-2023-52161, были обнаружены после аудита безопасности софтвера wpa_supplicant и Intel iNet Wireless Daemon. Wpa_supplicant – это реализация открытого кода протокола IEEE 802.11i, поддерживающая широкий спектр операционных систем, включая Linux, FreeBSD и другие. IWD разрабатывался в основном для Linux, но также влияет на его производные, включая Android.
Последствия уязвимостей
Одна из уязвимостей, CVE-2023-52161, позволяет злоумышленникам получать несанкционированный доступ к защищенным Wi-Fi сетям, подвергая риску как пользователей, так и устройства в этих сетях. Это может привести к распространению вредоносного ПО, краже данных или компрометации корпоративной электронной почты. Уязвима любая версия IWD до индекса 2.12.
CVE-2023-52160 воздействует на версии wpa_supplicant 2.10 и ниже, упрощая для атакующих процесс привлечения пользователей в их малициозную сеть путем имитации недавно использованных легитимных сетей. Это становится критическим, учитывая, что wpa_supplicant по умолчанию используется для подключения к беспроводным сетям на устройствах Android.
Меры предосторожности и обновления
Разработчики из Debian, Red Hat, SUSE и Ubuntu уже выпустили обновления безопасности, адресующие эти уязвимости. Отдельно была исправлена проблема в wpa_supplicant для ChromeOS в версии 118, однако обновления для Android все еще ожидаются.
Эксперты советуют пользователям вручную устанавливать сертификаты безопасности для корпоративных сетей, чтобы минимизировать риск атак.
