WPA2 sårbarhed

0_KRACK 2.png

Sikkerhedsforskere annoncerede en række svagheder i WPA2-protokollen den 16. oktober. Disse svagheder gør det muligt for udenforstående at aflytte WPA2-beskyttet WiFi-trafik sendt fra en klient. Svagheden findes i WPA2-protokollens 4-vejs handshaket og kan udnyttes ved at snyde en WiFi-enhed til at genbruge en krypteringsnøgle. For at garantere sikkerheden bør en given nøgle kun blive brugt én gang. Sårbarheden består i, at WPA2 i sig selv ikke garanterer, at det ikke kan ske. Ved at manipulere de kryptografiske beskeder i 4-vejs handshaket kan sårbarheden udnyttes.

Særligt Linux og Android (6.0+) lader til at være endnu mere sårbar, da klienten hér vil installere en krypteringsnøgle bestående af 0’er i stedet for den reelle krypteringsnøgle. Dette skyldes håndteringen af WPA2-protokollen i wpa_supplicant softwarepakken. Det vurderes, at cirka 50 % af alle aktive Android-enheder er sårbare.

Som nævnt ovenfor, er en række af sårbarhederne relateret til klienterne selv, men en enkelt af de annoncerede sårbarheder vedrører dog WiFi-infrastrukturen. Mere specifikt drejer det sig om Fast BSS Transition, også kendt som 802.11r eller Fast Roaming, der gør roaming mellem access-punkter hurtigere. Her kan den samme sårbarhed udnyttes. For at lukke dette hul, skal eventuelle controllere og access-punkter opgraderes med ny software.

Næste skridt

På klientsiden er der tale om opdatering af drivere og/eller selve OS. På nuværende tidspunkt ved vi følgende:

Indtil der er et patch klar til alle WiFi-enheder på netværket, anbefaler vi at benytte en form for VPNs, som f.eks. Cisco AnyConnect, ovenpå WiFi-forbindelsen. Skulle trafikken over WiFi blive opfanget af udenforstående, vil den dermed stadig være krypteret.  

På infrastruktursiden har Cisco for nogle platforme allerede udgivet opdaterede softwareversioner, hvor svagheden omkring Fast BSS Transition/802.11r er lukket:

Cisco har beskrevet sårbarheden i deres egen Cisco Security Advisory her

Hvis det ikke er muligt at opdatere software på controller og/eller APer på nuværende tidspunkt, anbefaler Conecto kraftigt at 802.11r deaktiveres. Når softwaren er blevet opdateret, kan 802.11r aktiveres igen.

Conecto står selvfølgelig klar til at hjælpe med at udføre de nævnte infrastrukturopgraderinger, eller hvis ovenstående giver anledning til spørgsmål. Du kan kontakte Conectos Servicedesk direkte på telefon +45 70 262 777 eller e-mail servicedesk@conecto.dk