CVE-2023-52160 Wi-Fi Vulnerability

భద్రతా పరిశోధకులు Android, Linux మరియు ChromeOS పరికరాలలో ఉపయోగించే ఓపెన్-సోర్స్ Wi-Fi సాఫ్ట్‌వేర్‌లో రెండు ప్రమాణీకరణ బైపాస్ దుర్బలత్వాలను కనుగొన్నారు. CVE-2023-52160 మరియు CVE-2023-52161గా గుర్తించబడిన ఈ లోపాలు వరుసగా wpa_supplicant మరియు Intel యొక్క iNet వైర్‌లెస్ డెమోన్ (IWD) యొక్క భద్రతా అంచనా సమయంలో వెల్లడయ్యాయి. ఈ దుర్బలత్వాలను ఉపయోగించుకోవడం వల్ల వినియోగదారులను మోసపూరిత నెట్‌వర్క్ క్లోన్‌లకు తెలియకుండానే కనెక్ట్ చేసేలా మోసగించవచ్చు లేదా పాస్‌వర్డ్ అవసరం లేకుండానే దాడి చేసేవారు విశ్వసనీయ నెట్‌వర్క్‌లో చేరవచ్చు. హానికరమైన నెట్‌వర్క్ క్లోన్‌లపై వినియోగదారుల డేటా ట్రాఫిక్‌కు అంతరాయం కలిగించడం మరియు సురక్షితమైన నెట్‌వర్క్‌లకు అనధికారిక యాక్సెస్ వంటి పరిణామాలు ఉన్నాయి.

CVE-2023-52160 Wi-Fi దుర్బలత్వం యొక్క ప్రభావం

CVE-2023-52160 wpa_supplicant సంస్కరణలు 2.10 మరియు అంతకు ముందు ప్రభావితం చేస్తుంది. వైర్‌లెస్ నెట్‌వర్క్‌లకు లాగిన్ అభ్యర్థనలను నిర్వహించడానికి ఆండ్రాయిడ్ పరికరాలలో ఉపయోగించే డిఫాల్ట్ సాఫ్ట్‌వేర్ అయినందున ఇది రెండు లోపాల కంటే ఎక్కువ ఒత్తిడిని కలిగిస్తుంది. ఇది ప్రామాణీకరణ సర్వర్ యొక్క సర్టిఫికేట్‌ను ధృవీకరించడానికి సరిగ్గా కాన్ఫిగర్ చేయని Wi-Fi క్లయింట్‌లను మాత్రమే ప్రభావితం చేస్తుంది.

బాధితుడు మునుపు కనెక్ట్ చేసిన Wi-Fi నెట్‌వర్క్ యొక్క SSIDని దాడి చేసే వ్యక్తి ఆధీనంలో ఉన్నందున CVE-2023-52160 బ్యాంక్‌ల విజయవంతమైన దోపిడీ. బెదిరింపు నటుడు బాధితురాలికి శారీరకంగా దగ్గరగా ఉండటం కూడా దీనికి అవసరం. ఒక ఉద్యోగిని కార్యాలయం నుండి నిష్క్రమించే ముందు దాడి చేసే వ్యక్తి నెట్‌వర్క్‌ల కోసం స్కానింగ్ చేస్తూ కంపెనీ భవనం చుట్టూ తిరిగే అవకాశం ఉంది.

దుర్బలత్వం CVE-2023-52161 ప్రత్యేకంగా దాడి చేసే వ్యక్తిని సురక్షిత Wi-Fi నెట్‌వర్క్‌కు అనధికారిక యాక్సెస్‌ను పొందేందుకు అనుమతిస్తుంది, ప్రస్తుత వినియోగదారులు మరియు పరికరాలను మాల్వేర్ ఇన్‌ఫెక్షన్‌లు, డేటా చౌర్యం మరియు వ్యాపార ఇమెయిల్ రాజీ (BEC) వంటి సంభావ్య ముప్పుల ప్రమాదంలో ఉంచుతుంది. ఈ దుర్బలత్వం IWD సంస్కరణలు 2.12 మరియు అంతకుముందు ప్రభావితం చేస్తుంది. CVE-2023-52161 Linux పరికరాన్ని వైర్‌లెస్ యాక్సెస్ పాయింట్ (WAP)గా ఉపయోగించే ఏదైనా నెట్‌వర్క్‌కు ప్రమాదాన్ని కలిగిస్తుంది.

పరిశోధకులు కంపెనీలు మరియు వినియోగదారులను బహిర్గతం చేసే దోపిడీలకు వ్యతిరేకంగా చర్యలు తీసుకోవాలని కోరారు

Debian, Red Hat, SUSE మరియు Ubuntu వంటి ప్రముఖ Linux పంపిణీలు గుర్తించబడిన రెండు లోపాలను పరిష్కరిస్తూ సలహాలను జారీ చేశాయి. wpa_supplicant ఆందోళన ChromeOS సంస్కరణలు 118 మరియు అంతకు మించి పరిష్కరించబడింది. అయితే, Android కోసం పరిష్కారాలు పెండింగ్‌లో ఉన్నాయి. ముందుజాగ్రత్త చర్యగా, సంభావ్య దాడులను తగ్గించడానికి ఏదైనా నిల్వ చేయబడిన ఎంటర్‌ప్రైజ్ నెట్‌వర్క్‌ల కోసం CA సర్టిఫికేట్‌ను మాన్యువల్‌గా కాన్ఫిగర్ చేయాలని Android వినియోగదారులు గట్టిగా కోరుతున్నారు.

Google ఈ దుర్బలత్వం కోసం ప్యాచ్‌ల లభ్యతను నిర్ధారించింది మరియు ప్యాచ్‌లను అమలు చేయడానికి మరియు వారి వినియోగదారులకు పంపిణీ చేయడానికి అసలు పరికరాల తయారీదారులతో (OEMలు) కమ్యూనికేట్ చేసింది. భద్రతా నిపుణులు తమ పరికరాలలో తాజా భద్రతా అప్‌డేట్‌లను స్థిరంగా ఇన్‌స్టాల్ చేయడం యొక్క ప్రాముఖ్యతను సరైన భద్రతను నిర్ధారించడానికి ప్రాథమిక ఉత్తమ అభ్యాసంగా నొక్కి చెప్పారు.