Erre figyelj, ha biztonsági rés van a hálózatodban
Több eszközben is sebezhető a WPA2 protokoll
A tajvani Zyxel több eszközében is biztonsági réseket fedezett fel –az elsősorban WiFi klienseket és hozzáférési pontokat érintő hálózati problémák kivédésére a márka máris ellenlépéseket tett, és konkrét ütemtervvel szolgált a felhasználók részére.
A WPA2 protokollt érintő sebezhetőségi problémák megoldására Hotfix frissítéseket és ütemtervet is készített a tajvani márka. A biztonsági réseket három különböző támadás érheti, ezért egy ideig érdemes leállítani az adott eszközt, vagy folyamatosan megfigyelni működését. Fontos megjegyezni, hogy nagy távolságról nem támadhatók az eszközöket: a behatolónak minden esetben fizikailag is viszonylag közel kell helyezkednie a hálózathoz, hogy ezeket a gyengeségeket kihasználhassa.
Az érintett eszközök:
A támadás típusa |
CVE azonosító |
Érintett eszközök |
4-utas kézfogás |
CVE-2017-13077 |
WiFi kliensek |
Csoport-kulcs kézfogás |
CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081 |
WiFi kliensek |
802.11r Gyors-BSS Átvitel (FT) |
CVE-2017-13082 |
Hozzáférési pontok |
A Zyxel a hiba felfedezése után alapos vizsgálatot rendelt el a sebezhetőség átfogó megismerésére. A nem listázott termékek a tervezésükből adódóan nem támogatják a veszélyes 802.11r Gyors-BSS átviteli “kézfogást”, ezért nem tartoznak a veszélyeztetettek csoportjába. A márka jelenleg is együttműködik a WiFi chipset gyártókkal a megoldáson, és egy patch firmware is elérhetővé válik a következő hetekben.
A Zyxel frissítési ütemterve:
CVE ID |
Sorozat/Modell |
Hotfix elérhetőség |
Standard elérhetőség |
CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081 |
NWA1100-NH |
2017 dec 31. |
2018 február vagy korábban |
WAP6405 |
N/A |
2017 nov 1. vagy korábban |
|
WAP6804 |
N/A |
2017 nov 6. vagy korábban |
|
WAP6806 |
N/A |
2018 február vagy korábban |
|
WRE2206 |
N/A |
2018 február vagy korábban |
|
WRE6505 v2 |
N/A |
2018 január vagy korábban |
|
WRE6606 |
N/A |
2018 február vagy korábban |
|
Cam3115 |
N/A |
2018 február vagy korábban |
|
CVE-2017-13082 |
NWA1120 sorozat |
2017 nov 16. |
2018 február vagy korábban |
NWA5301-NJ |
2017 nov 16. |
2018 február vagy korábban |
|
NWA5120 sorozat |
2017 nov 16. |
2018 február vagy korábban |
|
WAC6100 sorozat |
2017 nov 16. |
2018 február vagy korábban |
|
WAC6500 sorozat |
2017 nov 16. |
2018 február vagy korábban |
A kliensek és hozzáférési pontok alapértelmezett verzióiban a 802.11r általában nincs engedélyezve, ezért a sebezhetőség a Zyxel ügyfeleinek nagy részét nem érinti a probléma. A Business Class hozzáférési pont, mely támogatja a 802.11r Fast-BSS átvitel (FT) kézfogást, ellenben a veszélyeztetett kategóriába tartozik. A biztonsági kockázatok elkerülése érdekében akik listában felsorolt eszközzel rendelkeznek, érdemes kikapcsolniuk a 802.11r szolgáltatást. A Hotfix megjelenése után az ügyfeleknek a lehető leghamarabb frissíteniük kell a teljesen biztonságos működéshez.
A sebezhetőséggel kapcsolatos további részletek itt érhetők el:
-
US-CERT VU jegyzet: https://www.kb.cert.org/vuls/id/228519/
-
Szakértői elemzés az esetről: https://www.krackattacks.com