Las vulnerabilidades por ataques de Frangmentación y Agregación (FragAttacks) han salido a la luz debido al riesgo que sufren los dispositivos de red inalámbrica desde 1997. Aunque es complicado aprovechar este tipo de vulerabilidad, desde eduroam, está siendo tenido en cuenta.

Los FragAttacks son ataques contra la infraestructura de red inalámbrica y de los clientes, más que un ataque sobre redes concretas. Aunque en el documento original se menciona, a eduroam no le afecta en mayor medida que a otras redes inalámbricas no teniendo que realizar ninguna configuración de seguridad adicional a las que realizarías en tu propoia red inalámbrica.

La mejor manera de evitar estos ataques es manteniendo tu infraestructura actualizada con los últimos parches de los fabricantes. Se deben instalar las actualiza en todos los compponentes inalámbricos – tanto Puntos de Acceso (APs) como dispositivos Wi-Fi de los usuarios (teléfonos, ordernadores portátiles y dispositivos IoT). Algunos de estso parches ya habrá sido aplicados mediante operaciones rutinarias mientras que otros pueden estar en desarrollo y ser aplicados en un futuro.

No se han detectado indicios de que esta vulnerabilidad haya sido explotada, no se trata de un ataque remoto si no que solo puede ejecutarse cuando el atacante se encuentra cercano a un punto de acceso o cliente vulnerable. No es un problema que esté afectando al servicio de autenticación y la infraestructura funciona con normalidad enviándose tus credenciales de forma segura siempre y cuando se haya configurado de la manera adecuada.

El Equipo de Operaciones de eduroam y los National Roaming Operators (NROs) promueven la adopción de buenas prácticas para la seguridad de los clientes:

• Aplicando el perfil configurado de la organización a todos los clientes de eduroam. Pudiendo hacerse desde la "Configuration Assistant Tool" (CAT) disponible en https://cat.eduroam.org. Los sitios que no dispongan de una configuración disponible deberán contactar con su NRO para solicitar asistencia para su creación.

• Eliminando los SSID que permiten una conexión automática de forma abierta o insegura con la finalidad de reducir los riesgos.

• Discontinuando el uso de puntos de acceso inalámbricos sin actualizaciones de seguridad.

• Comunicar a los usuarios de eduroam que no deberían usar dispositivos vulnerables o sin actualizar debido a la posible pérdida de las ventajas en conectividad que la iniciativa les provee.

• Los operadore de los Puntos de Acceso de eduroam deben verificar el soporte para 802.11w / PMF (Protected Management Frames) en sus equipos para prevenir este tipo de problemas.

Puedes encontrar más información sobre estos ataques en:

• FragAttacks WLAN vulnerabilities: First Updates (en alemán)

• Time to patch against fragattacks (en inglés)

• Commscope fragattacks resource center (en inglés)

• FragAttacks just reinforce the ‘It depends’ complexity of Wi-FI (en inglés)

• Paper de Usenix 2021 (en inglés).