Gå til sidens indhold

WPA2 sårbarhed

Sikkerhedsforskere annoncerede en række svagheder i WPA2-protokollen den 16. oktober. Disse svagheder gør det muligt for udenforstående at aflytte WPA2-beskyttet WiFi-trafik sendt fra en klient.

0_KRACK 2.png

WPA2 sårbarhed

Sikkerhedsforskere annoncerede en række svagheder i WPA2-protokollen den 16. oktober. Disse svagheder gør det muligt for udenforstående at aflytte WPA2-beskyttet WiFi-trafik sendt fra en klient. Svagheden findes i WPA2-protokollens 4-vejs handshaket og kan udnyttes ved at snyde en WiFi-enhed til at genbruge en krypteringsnøgle. For at garantere sikkerheden bør en given nøgle kun blive brugt én gang. Sårbarheden består i, at WPA2 i sig selv ikke garanterer, at det ikke kan ske. Ved at manipulere de kryptografiske beskeder i 4-vejs handshaket kan sårbarheden udnyttes.

Særligt Linux og Android (6.0+) lader til at være endnu mere sårbar, da klienten hér vil installere en krypteringsnøgle bestående af 0’er i stedet for den reelle krypteringsnøgle. Dette skyldes håndteringen af WPA2-protokollen i wpa_supplicant softwarepakken. Det vurderes, at cirka 50 % af alle aktive Android-enheder er sårbare.

Som nævnt ovenfor, er en række af sårbarhederne relateret til klienterne selv, men en enkelt af de annoncerede sårbarheder vedrører dog WiFi-infrastrukturen. Mere specifikt drejer det sig om Fast BSS Transition, også kendt som 802.11r eller Fast Roaming, der gør roaming mellem access-punkter hurtigere. Her kan den samme sårbarhed udnyttes. For at lukke dette hul, skal eventuelle controllere og access-punkter opgraderes med ny software.

Næste skridt

På klientsiden er der tale om opdatering af drivere og/eller selve OS. På nuværende tidspunkt ved vi følgende:

  • Microsoft har bekræftet, at de allerede har udsendt en patch, der lukker hullet. KB’en, der beskriver hvilke versioner af Windows, der har modtaget fixet, er endnu ikke offentliggjort.
  • Apple har bekræftet, at beta-udgaven af den næste version af iOS, macOS, watchOS og tvOS indeholder patch for sårbarheden. Frigivelsesdatoer og versionsnumre er endnu ikke offentliggjort.
  • Google udsender patch til Nexus- og Pixel-modeller som en del af sikkerhedsopdateringen for november 2017. Hvorvidt dette patch når ud til andre (ikke-Google) Android-enheder, afhænger af producenten. Her kan vi kun anbefale at holde øje med sikkerhedsopdateringer fra den pågældende producent.
  • Linux og mange BSD-varianter har allerede et patch klar, der lukker for svagheden.

Indtil der er et patch klar til alle WiFi-enheder på netværket, anbefaler vi at benytte en form for VPNs, som f.eks. Cisco AnyConnect, ovenpå WiFi-forbindelsen. Skulle trafikken over WiFi blive opfanget af udenforstående, vil den dermed stadig være krypteret.  

På infrastruktursiden har Cisco for nogle platforme allerede udgivet opdaterede softwareversioner, hvor svagheden omkring Fast BSS Transition/802.11r er lukket:

  • For IOS-baserede LightWeight APer (op til og med 1700/2700/3700 APer): 8.3.130.0 (frigivet 16/10-2017) lukket hullet. Der er nye software versioner på vej for 8.0-træet (8.0.15x.0), 8.2-træet (8.2.170.0), 8.5-træet (8.5.110.0), der ligeledes lukker hullet. Den næste release (8.6) vil også have patch for svagheden.
  • Cisco 802.11ac Wave 2 APer (1800/2880/3800 samt 1540 og 1560): Der er endnu ikke frigivet versioner, der retter sårbarheden på disse APer. For 8.3-træet vil der blive udsendt en Maintenance Release for 8.3.130.0 (versionsnummer 8.3.13x.0). For 8.0, 8.2, 8.5 forventes patch indbygget for 8.0.15x.0, 8.2.170.0 og 8.5.110.0. 8.6 vil have patch med, når denne frigives.
  • Cisco Meraki: Der er frigivet software, der lukker for svagheden. For at tjekke status for netværket, kan ”Help -> 802.11 vulnerability impact” benyttes. Denne rapport vil vise, hvilke APer der kører på en software-version, der er berørt af hullet. På de fleste Meraki AP vil svagheden være lukket i MR-version 24.11 og nyere, mens MR30H, MR33 samt MR74 AP skal opdateres til MR-version 25.7. Fra Dashboard kan opgraderingen af enhederne planlægges og startes.

Cisco har beskrevet sårbarheden i deres egen Cisco Security Advisory her

Hvis det ikke er muligt at opdatere software på controller og/eller APer på nuværende tidspunkt, anbefaler Conecto kraftigt at 802.11r deaktiveres. Når softwaren er blevet opdateret, kan 802.11r aktiveres igen.

Conecto står selvfølgelig klar til at hjælpe med at udføre de nævnte infrastrukturopgraderinger, eller hvis ovenstående giver anledning til spørgsmål. Du kan kontakte Conectos Servicedesk direkte på telefon +45 70 262 777 eller e-mail servicedesk@conecto.dk

Tilbage til nyhedsoverigt