AirSnitch: attacco alle reti guest e isolamento dei client Wi-Fi

In che modo la famiglia di vulnerabilità AirSnitch minaccia le reti aziendali e quali modifiche è necessario apportare all’architettura e alle impostazioni di rete per rimanere protetti.

Come proteggere l'organizzazione dalle vulnerabilità Wi-Fi di AirSnitch

In occasione del Simposio NDSS 2026 di San Diego a febbraio, un gruppo di rinomati ricercatori ha presentato uno studio che svela l’attacco AirSnitch, che aggira la funzionalità di isolamento del client Wi-Fi, comunemente nota anche come rete guest o isolamento del dispositivo. Questo attacco consente di connettersi a una singola rete wireless tramite un punto di accesso e quindi di ottenere l’accesso ad altri dispositivi connessi, inclusi quelli che utilizzano SSID (Service Set Identifier) completamente diversi sullo stesso hardware. I dispositivi di destinazione potrebbero essere facilmente eseguiti in subnet wireless protette dai protocolli WPA2 o WPA3. L’attacco in realtà non viola il criptaggio; sfrutta invece il modo in cui i punti di accesso gestiscono le chiavi di gruppo e l’instradamento dei pacchetti.

In termini pratici, ciò significa che una rete ospite fornisce ben poco in termini di sicurezza effettiva. Se le reti guest e dipendenti sono in esecuzione nello stesso dispositivo fisico, AirSnitch consente a un utente malintenzionato connesso di iniettare traffico dannoso negli SSID vicini. In alcuni casi, possono persino sferrare un attacco man-in-the-middle (MitM) in piena regola.

Protezione Wi-Fi e ruolo dell’isolamento

La protezione Wi-Fi è in continua evoluzione; ogni volta che viene effettuato un attacco pratico contro la protezione di ultima generazione, il settore passa a procedure e algoritmi più complessi. Questo ciclo è iniziato con gli attacchi FMS utilizzati per decifrare le chiavi di criptaggio WEP e continua ancora oggi: esempi recenti includono gli attacchi KRACK a WPA2 e FragAttacks, che hanno avuto un impatto su ogni versione del protocollo di protezione WEP fino a WPA3.

Attaccare le moderne reti Wi-Fi in modo efficace (e silenziosamente) non è un’impresa da poco. La maggior parte dei professionisti concorda sul fatto che l’utilizzo di WPA2/WPA3 con chiavi complesse e la separazione delle reti in base allo scopo è in genere sufficiente per la protezione. Tuttavia, solo gli specialisti sanno veramente che l’isolamento dei client non è mai stato standardizzato all’interno dei protocolli IEEE 802.11. Diversi produttori implementano l’isolamento in modi completamente diversi: utilizzando il livello 2 o il livello 3 dell’architettura di rete; in altre parole, gestendolo a livello di router o di controller Wi-Fi, il che significa che il comportamento delle subnet isolate varia notevolmente a seconda del punto di accesso o del modello di router specifico.

Sebbene il marketing affermi che l’isolamento dei client è perfetto per impedire agli ospiti di ristoranti o hotel di attaccarsi a vicenda o per garantire che i visitatori aziendali possano accedere solo a Internet, in realtà l’isolamento spesso si basa sul fatto che le persone non cerchino di manometterlo. Questo è esattamente ciò che evidenzia la ricerca di AirSnitch.

Tipi di attacchi AirSnitch

Il nome AirSnitch non si riferisce solo a una singola vulnerabilità, ma a un’intera famiglia di difetti dell’architettura riscontrati nei punti di accesso Wi-Fi. È anche il nome di uno strumento open source utilizzato per testare i router alla ricerca di questi punti deboli specifici. Tuttavia, i professionisti della sicurezza devono tenere presente che esiste solo un confine molto sottile tra test e attacchi.

Il modello per tutti questi attacchi è lo stesso: un client dannoso è connesso a un punto di accesso (AP) in cui è attivo l’isolamento. Altri utenti (le destinazioni) sono connessi allo stesso SSID o anche a SSID diversi nello stesso punto di accesso. Si tratta di uno scenario molto realistico; ad esempio, una rete ospite potrebbe essere aperta e non criptata oppure un utente malintenzionato potrebbe semplicemente ottenere la password Wi-Fi ospite spacciandosi per visitatore legittimo.

Per determinati attacchi AirSnitch, l’utente malintenzionato deve conoscere anticipatamente l’indirizzo MAC o IP della vittima.  In definitiva, l’efficacia di ciascun attacco dipende dal produttore dell’hardware specifico (ulteriori informazioni di seguito).

Attacco GTK

Dopo l’handshake WPA2/WPA3, il punto di accesso e i client concordano una chiave transitoria di gruppo (GTK) per gestire il traffico di trasmissione. In questo scenario, l’utente malintenzionato esegue il wrapping dei pacchetti destinati a una vittima specifica all’interno di una busta del traffico di trasmissione. Questi ultimi li inviano quindi direttamente alla vittima durante lo spoofing dell’indirizzo MAC del punto di accesso. Questo attacco consente solo l’immissione di traffico, ovvero l’utente malintenzionato non riceverà una risposta. Tuttavia, anche questo è sufficiente per inviare al client annunci di routing ICMPv6 dannosi o messaggi DNS e ARP, aggirando di fatto l’isolamento. Questa è la versione più universale dell’attacco che funziona in qualsiasi rete WPA2/WPA3 che utilizza un GTK condiviso. Detto questo, alcuni punti di accesso di livello aziendale supportano la randomizzazione GTK per ogni singolo client, il che rende inefficace questo metodo specifico.

Reindirizzamento dei pacchetti broadcast

Questa versione dell’attacco non richiede nemmeno l’autenticazione preliminare presso il punto di accesso da parte dell’utente malintenzionato. L’utente malintenzionato invia i pacchetti all’AP con un indirizzo di destinazione della trasmissione (FF:FF:FF:FF:FF:FF) e il flag ToDS impostato su 1.  Di conseguenza, molti punti di accesso considerano questo pacchetto come traffico di trasmissione legittimo; lo criptano utilizzando GTK e lo inviano a tutti i client della subnet, inclusa la vittima. Proprio come nel metodo precedente, il traffico specifico per una singola vittima può essere preconfezionato all’interno.

Reindirizzamento del router

Questo attacco sfrutta una lacuna architetturale tra la sicurezza di Livello 2 e Livello 3 riscontrata nell’hardware di alcuni produttori. L’utente malintenzionato invia un pacchetto al punto di accesso, impostando l’indirizzo IP della vittima come destinazione a livello di rete (L3).  Tuttavia, al livello wireless (L2), la destinazione viene impostata sull’indirizzo MAC del punto di accesso, quindi il filtro di isolamento non scatta. Il sottosistema di routing (L3) reinstrada quindi nuovamente il pacchetto alla vittima, ignorando completamente l’isolamento L2. Come i metodi precedenti, questo è un altro attacco di sola trasmissione in cui l’utente malintenzionato non può visualizzare la risposta.

Furto di porte per intercettare i pacchetti

L’utente malintenzionato si connette alla rete utilizzando una versione contraffatta dell’indirizzo MAC della vittima e inonda la rete con risposte ARP affermando “questo indirizzo MAC è sulla porta e sull’SSID”.  Il router della rete di destinazione aggiorna le proprie tabelle MAC e inizia invece a inviare il traffico della vittima a questa nuova porta. Di conseguenza, il traffico destinato alla vittima finisce all’autore dell’attacco, anche se la vittima è connessa a un SSID completamente diverso.

In uno scenario in cui l’utente malintenzionato si connette tramite una rete aperta non criptata, il traffico destinato a un client in una rete protetta WPA2/WPA3 viene effettivamente trasmesso all’aperto, dove non solo l’utente malintenzionato ma chiunque si trovi nelle vicinanze può metterci il naso.

Furto di porte per l’invio di pacchetti

In questa versione l’utente malintenzionato si connette direttamente alla scheda Wi-Fi della vittima e la bombarda con richieste ARP che falsificano l’indirizzo MAC del punto di accesso. In seguito a questa operazione, il computer della vittima inizia a inviare il traffico in uscita all’utente malintenzionato anziché alla rete. Eseguendo contemporaneamente entrambi gli attacchi stealing, un utente malintenzionato può, in diversi scenari, eseguire un attacco MitM completo.

Conseguenze pratiche degli attacchi AirSnitch

Unendo diverse tecniche sopra descritte, un hacker può mettere a punto alcune mosse piuttosto serie:

  • Completare l’intercettazione del traffico bidirezionale per un attacco MitM. Ciò significa che possono strappare e modificare i dati che si spostano tra la vittima e il punto di accesso all’insaputa della vittima.
  • Saltare tra gli SSID. Un utente malintenzionato in una rete guest può raggiungere gli host in una rete aziendale bloccata se entrambi sono eseguiti dallo stesso punto di accesso fisico.
  • Attacchi su RADIUS. Poiché molte aziende utilizzano l’autenticazione RADIUS per il Wi-Fi aziendale, un utente malintenzionato può falsificare l’indirizzo MAC del punto di accesso per intercettare i pacchetti di autenticazione RADIUS iniziali. Da lì, possono forzare il segreto condiviso. Una volta ottenuto questo, possono creare un server RADIUS e un punto di accesso non autorizzati per violare i dati da qualsiasi dispositivo che si connette.
  • Esposizione dei dati non criptati provenienti da subnet “sicure”: il traffico che dovrebbe essere inviato a un client con la protezione di WPA2/WPA3 può essere ritrasmesso in una rete guest aperta, dove viene essenzialmente trasmesso per essere ascoltato da tutti.

Per sventare efficacemente questi attacchi, un hacker ha bisogno di un dispositivo in grado di eseguire la trasmissione e la ricezione simultanee dei dati con l’adattatore della vittima e il punto di accesso. In uno scenario reale, questo in genere significa un laptop con due schede Wi-Fi che eseguono driver Linux configurati in modo specifico. Vale la pena notare che l’attacco non è esattamente silenzioso: richiede una marea di pacchetti ARP, può causare brevi problemi tecnici del Wi-Fi all’avvio e la velocità della rete potrebbe scendere fino a circa 10 Mbps. Nonostante questi segnali d’allarme, è ancora una minaccia pratica in molti ambienti.

Dispositivi vulnerabili

Nell’ambito dello studio sono stati messi alla prova diversi punti di accesso e router domestici e aziendali. L’elenco includeva prodotti Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, LANCOM e ASUS, nonché router che eseguono popolari firmware della community come DD-WRT e OpenWrt. Ogni singolo dispositivo testato era vulnerabile almeno ad alcuni degli attacchi qui descritti. Ancora più preoccupante, il D-Link DIR-3040 e LANCOM LX-6500 erano suscettibili a ogni singola variazione di AirSnitch.

È interessante notare che alcuni router erano dotati di meccanismi di protezione che bloccavano gli attacchi, anche se i difetti dell’architettura sottostanti erano ancora presenti. Ad esempio, Tenda RX2 Pro disconnette automaticamente qualsiasi client il cui indirizzo MAC appare contemporaneamente su due BSSID, bloccando di fatto il furto di porte.

I ricercatori sottolineano che qualsiasi amministratore di rete o team di sicurezza IT seriamente interessato alla difesa dovrebbe testare le proprie configurazioni specifiche. Questo è l’unico modo per individuare esattamente quali minacce sono rilevanti per la configurazione dell’organizzazione.

Come proteggere la rete aziendale da AirSnitch

La minaccia è più immediata per le organizzazioni che eseguono reti Wi-Fi aziendali e guest sugli stessi punti di accesso senza una segmentazione della VLAN aggiuntiva. Esistono inoltre rischi significativi per le aziende che utilizzano RADIUS con impostazioni obsolete o segreti condivisi deboli per l’autenticazione wireless.

Il risultato finale è che è necessario smetterla di considerare l’isolamento dei client in un punto di accesso come una reale misura di sicurezza e iniziare a vederlo solo come una comoda funzionalità. La sicurezza reale deve essere gestita in modo diverso:

  • Segmenta la rete utilizzando le VLAN. Ogni SSID deve avere la propria VLAN, con un rigoroso tagging dei pacchetti 802.1Q mantenuto per tutto il percorso dal punto di accesso al firewall o al router.
  • Implementa un’ispezione dei pacchetti più rigorosa a livello di routing, a seconda delle capacità hardware. Funzionalità come Dynamic ARP Inspection, snooping DHCP e limitazione del numero di indirizzi MAC per porta aiutano a difendersi dallo spoofing IP/MAC.
  • Abilita le singole chiavi GTK per ogni client, se il dispositivo lo supporta.
  • Utilizza impostazioni RADIUS e 802.1X più resilienti, tra cui suite di criptaggio moderne e solidi segreti condivisi.
  • Registra e analizza nel SIEM le anomalie di autenticazione EAP/RADIUS. Questo aiuta a tenere traccia di molti tentativi di attacco, oltre al semplice AirSnitch. Altri eventi red flag a cui prestare attenzione includono lo stesso indirizzo MAC che appare in SSID diversi, picchi nelle richieste ARP o client che saltano rapidamente tra BSSID o VLAN.

Applica la protezione ai livelli superiori della topologia di rete. Molti di questi attacchi perdono la loro importanza se l’organizzazione ha implementato universalmente TLS e HSTS per tutto il traffico delle applicazioni aziendali, richiede una VPN attiva per tutte le connessioni Wi-Fi o ha abbracciato completamente un’architettura Zero Trust

Consigli
  • Tutti gli altri paesi