WPA3: Scoperti due nuovi bug per violare le password WIFI

Lo stesso team di ricercatori di sicurezza che ha scoperto diverse gravi vulnerabilità, soprannominate Dragonblood , nello standard di sicurezza WPA3 WiFi appena lanciato pochi mesi fa ha ora scoperto altri due bug che potrebbero consentire agli aggressori di hackerare le password WiFi .

La prima vulnerabilità, identificata come CVE-2019-13377, è un attacco contro l’ handshake Dragonfly di WPA3 quando si usano le curve Brainpool, che WiFi Alliance ha raccomandato ai fornitori di utilizzare come protezioni aggiuntive.

“Abbiamo scoperto che l’uso delle curve Brainpool rendono il protocollo attaccabile vi handshake Dragonfly di WPA3”, afferma il duo in un avviso aggiornato . “In altre parole, anche se viene seguito il consiglio di WiFi Alliance, le implementazioni rimangono a rischio di attacchi”.

La seconda vulnerabilità, identificata come CVE-2019-13456, è un bug che risiede nell’implementazione di EAP-pwd (Extensible Authentication Protocol-Password) in FreeRADIUS, uno dei server RADIUS open source che le aziende utilizzano come un database centrale per autenticare gli utenti remoti.

I ricercatori hanno condiviso le loro nuove scoperte con WiFi Alliance e hanno twittato “lo standard WiFi è ora in fase di aggiornamento con le difese adeguate, che potrebbero portare a WPA 3.1”, ma sfortunatamente le nuove difese non sarebbero compatibili con la versione iniziale di WPA3.