צמד חוקרים זיהו 5 חולשות בתקן האבטחה החדש WPA3 שזכו לשם המשותף Dragonblood לאור העובדה כי הם עוקפות את מנגנון ה-Dragonfly handshake המאובטח שבתקן והופכות אותו לפגיע בעבור פורצים פוטנציאלים.
תקן ה-WPA3 הוכרז באופן רשמי על ידי ארגון ה-WiFi Alliance ביוני 2018 בתור המחליף של ה-WPA2 (ר”ת Wi-Fi Protected Access) הוותיק כשהוא נועד לפתור בעיות אבטחה מרובות בהן פרצת האבטחה KRACK שאותרה בשנת 2016.
למרות שה-WPA3 נועד לפתור את בעיות האבטחה, צמד חוקרי האבטחה מתי ואנהוף ואייל רונן איתרו 5 חולשות המזוהות כ-CERT ID #VU871675 ו-CVE-2019-9494. החולשות מנצלות את התמיכה לאחור של ה-WPA3 ומכריחות את המערכת להשתמש בפתרונות אבטחה ישנים ופגיעים יותר, כאשר חלק מהפרצות משתמשות במתקפות צדדיות על מנת לעקוף את סיסמאות הרשת.
ארגון ה-Wi-Fi Alliance האחראי על תקן ה-WPA3 הגיב במהירות לפרצות האבטחה החדשות והכריז כי שוחרר עדכון לתקן ה-WPA3 המטפל בפרצות המדוברות. יש להדגיש כי הפרצות נוגעות רק לתקן ה-WPA3-Personal שנועד לשימוש פרטי ולא ל-WPA3-Enterprise המיועד לשימוש מסחרי.
בנוסף לפרסום חולשות האבטחה בתקן WPA3, צמד החוקרים פרסם גם אוסף כלים הכולל את Dragonslayer, Dragondrain, Dragontime ו-Dragonforce שנועדו לבדוק את הפגיעות של רשתות ה-WiFi עם אבטחת WPA3 לפרצות החדשות שהתגלו.
