Как защитить организацию от уязвимостей Wi-Fi AirSnitch

Практические рекомендации по изоляции в сетях Wi-Fi и защите от всех атак AirSnitch.

Группа авторитетных исследователей представила на симпозиуме NDSS 2026 атаку AirSnitch, которая позволяет обходить функцию Wi-Fi client isolation, известную также под названиями «гостевая сеть» и «изоляция устройств». При помощи AirSnitch атакующий может подключиться к одной беспроводной сети на точке доступа и затем получить доступ к любому из подключенных к той же точке устройств, в том числе и к тому, которое использует иные SSID. Атакуемые устройства вполне могут работать в беспроводной подсети, защищенной WPA2/WPA3. Атака вообще не нарушает шифрование, а злоупотребляет способами обработки групповых ключей и маршрутизации пакетов на точке доступа.

На практике это означает, что роль «гостевой сети» в общей защите незначительна. Если сети для гостей и для сотрудников работают на одном устройстве, AirSnitch позволяет подключенному атакующему внедрять вредоносный трафик в «соседние» SSID, а в ряде случаев выполнять полноценную атаку «человек посередине» (MitM).

Безопасность Wi-Fi и роль изоляции

Защита беспроводных сетей постоянно эволюционирует, и после появления практически реализуемых атак на очередное поколение защиты Wi-Fi индустрия всегда переходила на более сложные алгоритмы и процедуры. Это началось с применения атак FMS для расшифровки ключей шифрования протокола WEP и продолжается по сей день — относительно свежими примерами являются атаки KRACK на WPA2 и FragAttacks для всех версий от WEP до WPA3.

Эффективно и незаметно атаковать современные сети Wi-Fi непросто, и практики сходятся на том, что для защиты достаточно использовать WPA2/WPA3 со сложными ключами, а также разделять беспроводные сети разного назначения. И только узкие специалисты знают, что «изоляция клиентов» никогда не была стандартизована в рамках протоколов IEEE 802.11. Разные производители воплощают изоляцию совершенно по-разному (используя 2-й или 3-й уровень сетевой архитектуры, уровень маршрутизатора или уровень контроллера Wi-Fi), и поведение изолированных подсетей значительно отличается в зависимости от модели точки доступа или роутера.

Хотя реклама утверждает, что «изоляция клиентов» хорошо подходит для того, чтобы гости ресторана или отеля не атаковали друг друга, а посетители корпорации не получали доступа ни к чему, кроме Интернета, на практике изоляция работает как «защита от честных людей». Именно это и демонстрирует исследование AirSnitch.

Виды атак AirSnitch

Под названием AirSnitch скрыта не одна уязвимость, а целое семейство архитектурных дефектов точек доступа Wi-Fi. То же имя носит и утилита open source, позволяющая тестировать роутеры на эти уязвимости. Но ИБ-практики должны учитывать, что от «тестировать» до «атаковать» всего один шаг.

Модель всех атак одинакова. Вредоносный клиент подключен к точке доступа (ТД), на которой активна изоляция. К той же или иным SSID этой ТД подключены другие пользователи — цели атаки. Такая ситуация вполне реалистична, например, когда гостевая сеть открыта и работает без шифрования либо когда атакующий получает ключ от гостевой сети (например, выдавая себя за легитимного клиента).

Для некоторых AirSnicth-атак надо заранее знать MAC или IP жертвы. Эффективность каждой атаки зависит от конкретного производителя оборудования (об этом ниже).

Атака на групповые ключи GTK

После рукопожатия WPA2/WPA3, точка доступа и клиенты договариваются о временном групповом ключе (GTK) для обработки широковещательного трафика. Атакующий упаковывает пакеты, адресованные жертве, в обертку широковещательного трафика, а затем отправляет их напрямую жертве, подделав MAC-адрес точки доступа. Атака позволяет проводить только инъекции трафика, ответ получить невозможно. Но даже это позволяет доставить клиенту вредоносные объявления о маршрутизации ICMPv6, DNS или ARP, преодолевая «изоляцию». Это наиболее универсальный вариант атаки, работающий с любой сетью WPA2/WPA3, у которой реально используется общий GTK. Правда, некоторые корпоративные точки доступа поддерживают рандомизацию GTK для каждого клиента, в этом случае данный вариант неэффективен.

Переадресация широковещательных пакетов

Этот вариант атаки даже не требует предварительной аутентификации на точке доступа. Атакующий отправляет на точку пакеты с адресом назначения «широковещательный» (FF:FF:FF:FF:FF:FF) и флагом ToDS = 1. В результате многие точки доступа обрабатывают этот пакет как легитимный широковещательный трафик, шифруют его с ключом GTK и отправляют всем клиентам подсети, включая жертву. Внутри, как и в прошлом варианте атаки, может быть запакован трафик для конкретной жертвы.

Переадресация от маршрутизатора

Данная атака эксплуатирует архитектурный пробел между защитой на 2-м и 3-м уровне сети, существующий у некоторых производителей оборудования. Атакующий отправляет пакет на точку доступа, указывая в качестве адреса назначения IP-пакета (L3) IP-адрес жертвы. На уровне беспроводной сети (L2), адресом назначения является MAC-адрес точки доступа, поэтому изоляция не нарушается. Далее подсистема маршрутизации (L3) направляет пакет обратно, и он уходит жертве в обход изоляции L2. Это еще одна атака, позволяющая только отправлять вредоносный трафик, без возможности получить ответ.

«Кража» портов для получения пакетов

Атакующий подключается к сети с подделанным MAC-адресом жертвы и отправляет большое количество ARP-ответов «этот MAC на моем порту и SSID». Маршрутизатор атакуемой сети обновляет свои таблицы MAC и отправляет трафик жертвы на этот новый порт. В результате трафик, адресованный жертве, попадает атакующему, даже если жертва подключена к другому SSID.

В сценарии, когда атакующий подключается через открытую незашифрованную сеть, это означает, что трафик, предназначенный клиенту в сети с защитой WPA2/WPA3, на самом деле отправляется в открытую сеть, где его может прослушивать не только атакующий, но и кто угодно.

«Кража» портов для отправки пакетов

Атакующий подключается к Wi-Fi адаптеру жертвы напрямую и бомбардирует его ARP-запросами с подделанным MAC-адресом точки доступа. В результате компьютер жертвы отправляет исходящий трафик не в сеть, а атакующему. Если проводить обе атаки с «кражей» параллельно, в ряде сценариев можно провести полноценную MitM.

Практические следствия атак AirSnitch

Скомбинировав в одной атаке несколько описанных техник, злоумышленник может провести следующее.

• Полноценный двунаправленный перехват трафика для атаки MitM. Трафик между жертвой и точкой доступа может быть перехвачен и модифицирован незаметно для жертвы.
• Переход между SSID. Атакующие из гостевой сети могут достичь хостов в закрытой корпоративной сети, если те подключены к той же точке доступа.
• Атаки на RAIDUS. Поскольку во многих организациях подключение к корпоративной беспроводной сети включает аутентификацию RADIUS, атакующий может провести атаку с подделкой MAC-адреса точки доступа, перехватить начальные пакеты аутентификации RADIUS и подобрать общий ключ перебором. Затем атакующий сможет создать фальшивый RAIDUS-сервер и точку доступа и перехватывать данные подключившихся устройств.
• Разглашение незашифрованных данных из «безопасных» подсетей. Трафик, который должен был направляться клиенту под защитой WPA2/WPA3, может ретранслироваться в открытую гостевую сеть для прослушивания всеми желающими.

Чтобы провести эффективные атаки, злоумышленнику потребуется устройство, способное одновременно поддерживать прием и передачу данных с адаптером жертвы и точкой доступа. На практике это компьютер с двумя адаптерами Wi-Fi и соответственно настроенными драйверами в Linux. Атаку не назовешь незаметной — потребуется создавать много ARP-пакетов, во время начала атаки возможны кратковременные сбои в работе сети Wi-Fi, а пропускная способность канала может падать до 10 Мбит/с. Несмотря на все это, она во многих сценариях вполне реализуема на практике.

Подверженные устройства

В рамках исследования были протестированы несколько корпоративных и домашних точек доступа и роутеров, включая изделия Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, LANCOM, ASUS, а также роутеры с популярными независимыми прошивками DD-WRT и OpenWrt. Все устройства оказались уязвимы к некоторым из описанных атак, а D-Link DIR-3040 и LANCOM LX-6500 были подвержены вообще всем разновидностям AirSnitch.

Некоторые роутеры оказались снабжены защитными механизмами, которые препятствуют реализации атаки, несмотря на то что архитектурная уязвимость никуда не делась. Например, устройство Tenda RX2 Pro отключает клиентов, чей MAC появляется на двух BSSID одновременно, поэтому «кража портов» здесь не сработает.

Авторы подчеркивают, что всерьез озабоченные безопасностью администраторы сетей и службы ИБ должны самостоятельно протестировать свою конфигурацию, чтобы точно определить, какие из угроз актуальны для организации.

Как защитить корпоративную сеть от AirSnitch

Угроза наиболее реальна для организаций, использующих гостевые и корпоративные сети Wi-Fi на одних и тех же точках доступа без дополнительной сегментации VLAN. Также существуют риски для компаний, использующих RADIUS с устаревшими настройками и слабым общим ключом для беспроводной аутентификации.

В любом случае нужно перестать воспринимать «изоляцию клиентов» на точке доступа как меру безопасности и считать ее скорее элементом удобства. А безопасность нужно реализовывать иначе.

• Сегментировать сеть при помощи VLAN. У каждого SSID — своя VLAN, а также строгая маркировка пакетов 802.1Q на всем пути от точки доступа до межсетевого экрана или маршрутизатора.
• Использовать более строгие настройки инспекции пакетов на уровне маршрутизации (зависит от возможностей конкретного оборудования). Защите от подделки IP/MAC помогают динамическая инспекция ARP, DHCP snooping, ограничение числа MAC на один порт.
• Включить применение индивидуальных ключей GTK для каждого клиента, опять же, если оборудование это позволяет.
• Использовать более устойчивые настройки RAIDUS и 802.1X, включая современные наборы шифров и стойкие общие секреты.
• Собирать в журналы SIEM и анализировать аномалии в процессе аутентификации EAP/RADIUS; это позволяет отследить многие попытки атак, не только AirSnitch. Другие информативные события для поиска угроз: одинаковые MAC в разных SSID, всплески ARP-запросов, быстрые смены клиентов BSSID или VLAN;
• Использовать защиту на более высоких уровнях сетевой топологии. Многие перечисленные атаки малоэффективны, если в организации повсеместно внедрены TLS и HTST для трафика всех бизнес-приложений, все подключения к сети Wi-Fi требуют дополнительно активного VPN, либо же в компании внедрен принцип zero trust.

11.04.2026

Kaspersky для школ по специальной цене