В WPA3 найдены новые уязвимости Dragonblood, раскрывающие пароль Wi-Fi

Олег Иванов 05 Августа 2019 - 08:17

Домашние пользователи

Парольная защита (пароли)

Уязвимости программ

Утечки информации

Умышленные утечки информации

Кража данных

...

В WPA3 найдены новые уязвимости Dragonblood, раскрывающие пароль Wi-Fi

Исследователи в области безопасности Мати Ванхоф и Эяль Ронен сообщили о двух новых уязвимостях класса Dragonblood, которые были найдены в стандарте Wi-Fi WPA3. Напомним, что изначально вид уязвимостей Dragonblood был открыт в апреле.

Согласно отчёту специалистов, новые проблемы безопасности похожи на апрельские тем, что допускают утечку информации из криптографических операций WPA3. Благодаря этому можно успешно провести брутфорс пароля сети Wi-Fi.

Первый баг отслеживается под идентификатором CVE-2019-13377 и затрагивает хендшейк WPA3 Dragonfly. Dragonfly представляет собой механизм обмена ключами в процессе аутентификации пользователей в системе WPA3-роутера.

В апреле Ванхоф и Ронен обнаружили, что Dragonfly, полагающийся на эллиптические кривые P-521, можно понизить до менее защищённых — P-256. В ответ на это Wi-Fi Alliance рекомендовал вендорам использовать более защищённые кривые Brainpool как часть алгоритмов Dragonfly.

«Однако мы обнаружили, что кривые Brainpool приводят к другому классу утечек по сторонним каналам. В ходе тестов наша теория подтвердилась — атака прошла успешно против последней версии Hostapd. В результате нам удалось сбрутфорсить пароль, используя утёкшую информацию», — объясняют эксперты.

Вторая брешь — CVE-2019-13456 — затрагивает имплементацию EAP-pwd во фреймворке FreeRADIUS. Такая связка используется многими вендорами для поддержки связи Wi-Fi.

EAP-pwd (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) — система аутентификации, используемая в прошлых стандартах WPA и WPA2. В WPA3 она также задействована из соображений поддержки устаревшей технологии.

Как и первая уязвимость, CVE-2019-13456 приводит к утечке информации, которая раскроет атакующему пароль сети.

Эксперты заявили, что уже уведомили Wi-Fi Alliance о проблемах безопасности, что может привести к выпуску версии WPA3.1.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 10:26

Solar SafeInspect Соответствие законодательству РФ Корпорации Государство Контроль привилегированных пользователей (PAM)Соответствие требованиям регуляторов ГК «Солар»

ГК Солар подготовила Solar SafeInspect к новым требованиям ФСТЭК России

С 1 марта 2026 года вступает в силу Приказ ФСТЭК России № 117, который ужесточает требования к защите государственных информационных систем и управлению привилегированными учетными записями. Для госорганов, компаний из сегмента КИИ и финансового сектора это означает пересмотр привычных схем удалённого доступа.

Документ запрещает бесконтрольное использование прав администратора и вводит более жёсткие правила дистанционного подключения к контурам ГИС.

Если сотрудник или подрядчик работает удалённо, организация должна обеспечить защищённый канал связи, строгую аутентификацию и изоляцию критической инфраструктуры. Привычные схемы с несертифицированными VPN-клиентами или прямым пробросом портов больше не укладываются в нормативные требования.

На этом фоне ГК «Солар» заявила о готовности своей системы управления привилегированным доступом Solar SafeInspect к новым правилам. Обновлённый сертификат ФСТЭК России распространяется на версию продукта с модулем WEB-портал, который позволяет организовать удалённую работу через веб-интерфейс без установки VPN-клиентов и дополнительного ПО на стороне пользователя.

По словам представителей компании, администратор подключается к порталу по защищённому протоколу, проходит аутентификацию и работает с целевыми системами в изолированной сессии. При этом прямого сетевого взаимодействия между устройством сотрудника и внутренними сегментами ГИС не происходит, а все действия фиксируются.

Требования к контролю доступа актуальны не только для госструктур. В финансовом секторе действует ГОСТ Р 57580.1, который также предполагает жёсткое управление логическим доступом. В «Соларе» отмечают, что использование сертифицированного решения упрощает прохождение аудитов и проверок Банка России.

Отдельный аспект — импортозамещение. Модуль WEB-портал в составе сертифицированной версии Solar SafeInspect работает на базе Astra Linux, что позволяет выстраивать подсистему доступа без использования зарубежного ПО.

В компании подчёркивают: 1 марта — это не столько крайний срок, сколько начало нового этапа контроля. Организациям придётся не только внедрить меры защиты, но и быть готовыми подтверждать соответствие требованиям регулятора в ходе проверок.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!