Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → pixie dust

Миллионы Wi-Fi-устройств по-прежнему подвержены уязвимости Pixie Dust, обнаруженной более десяти лет назад

Компания NetRise, специализирующаяся на защите прошивок и программных компонентов устройств Интернета вещей, сообщила, что многие сетевые устройства по-прежнему уязвимы для метода атаки через Wi-Fi, раскрытого более десяти лет назад. Об этом пишет SecurityWeek.

 Источник изображения: SecurityWeek

Источник изображения: SecurityWeek

Атака, получившая название Pixie Dust, была обнаружена в 2014 году, когда было продемонстрировано, что уязвимость, связанная с протоколом Wi-Fi Protected Setup (WPS), может быть использована для получения PIN-кода WPS маршрутизатора и подключения к целевой беспроводной сети без ввода пароля.

Атака Pixie Dust предполагает, что злоумышленник, находящийся в зоне действия целевой сети Wi-Fi, перехватывает начальное WPS-рукопожатие, содержащее данные между клиентом и точкой доступа для аутентификации, которые затем можно взломать в офлайн-режиме для получения PIN-кода WPS. Атака полагается на тот факт, что на некоторых устройствах случайные числа (передающиеся между клиентом и точкой доступа) генерируются с использованием предсказуемых или низкоэнтропийных методов. Злоумышленнику требуется всего несколько секунд, чтобы перехватить WPS-рукопожатие, а затем в течение нескольких минут или даже секунд — получить PIN-код в офлайн-режиме.

Компания NetRise провела анализ 24 моделей сетевых устройств, использующихся в настоящее время, на предмет их уязвимости к атакам Pixie Dust. Устройства были приобретены у шести производителей, но половина из них была произведена компанией TP-Link. Анализ NetRise показал, что из 24 маршрутизаторов, точек доступа, усилителей сигнала и гибридных систем Powerline/Wi-Fi только четыре были защищены от атак Pixie Dust, но во многих случаях исправления появились спустя 9-10 лет. Среди неисправленных продуктов семь уже сняты с производства, но 13 всё ещё поддерживаются. В ходе тестов специалисты NetRise смогли восстановить PIN-код WPS затронутых уязвимостью устройств за 1-2 секунды. Если говорить в масштабе, то речь может идти о миллионах затронутых уязвимостью Pixie Dust устройств.

«Существование уязвимых реализаций WPS отражает системный недостаток в цепочках поставок прошивок. Поставщики повторно используют небезопасные библиотеки, не обеспечивают соблюдение безопасных настроек по умолчанию и обеспечивают низкую прозрачность. Это создаёт для производителей риски репутационного ущерба, потенциального вмешательства со стороны регулирующих органов и юридической ответственности. Устройства, подверженные уязвимости, могут казаться безопасными из-за настроек пользовательского интерфейса, которые внешне скрывают или отключают WPS, но остаются уязвимыми на уровне прошивки. Это создает скрытые пути для эксплойтов в средах с высоким уровнем доверия, таких как филиалы компаний, розничная торговля и здравоохранение. Предприятия не могут надежно обнаружить эту уязвимость самостоятельно, а потому остаются в зависимости от раскрытия информации поставщиками, которые часто этого не делают», — отметила NetRise.

Исследование NetRise было проведено после недавнего предупреждения Агентством по кибербезопасности и защите инфраструктуры США (CISA) о том, что старая уязвимость, связанная с отсутствием аутентификации, затрагивающая усилители сигнала Wi-Fi-диапазона TP-Link, эксплуатируется в реальных условиях.


window-new
Soft
Hard
Тренды 🔥
Meta сократила простои ИИ-ускорителей, полностью перестроив своё глобальное хранилище данных 19 мин.
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI 44 мин.
Китай собирается строить ИИ-занавес: власти рассматривают запрет зарубежного доступа к местным ИИ-моделям 5 ч.
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 13 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 15 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 15 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 17 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 17 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 18 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 18 ч.