Erre figyelj, ha biztonsági rés van a hálózatodban

Több eszközben is sebezhető a WPA2 protokoll

A tajvani Zyxel több eszközében is biztonsági réseket fedezett fel –az elsősorban WiFi klienseket és hozzáférési pontokat érintő hálózati problémák kivédésére a márka máris ellenlépéseket tett, és konkrét ütemtervvel szolgált a felhasználók részére.

A WPA2 protokollt érintő sebezhetőségi problémák megoldására Hotfix frissítéseket és ütemtervet is készített a tajvani márka. A biztonsági réseket három különböző támadás érheti, ezért egy ideig érdemes leállítani az adott eszközt, vagy folyamatosan megfigyelni működését. Fontos megjegyezni, hogy nagy távolságról nem támadhatók az eszközöket: a behatolónak minden esetben fizikailag is viszonylag közel kell helyezkednie a hálózathoz, hogy ezeket a gyengeségeket kihasználhassa.

Az érintett eszközök:

A támadás típusa

CVE azonosító

Érintett eszközök

4-utas kézfogás

CVE-2017-13077

WiFi kliensek

Csoport-kulcs kézfogás

CVE-2017-13078

CVE-2017-13079

CVE-2017-13080

CVE-2017-13081

WiFi kliensek

802.11r Gyors-BSS Átvitel (FT)

CVE-2017-13082

Hozzáférési pontok

A Zyxel a hiba felfedezése után alapos vizsgálatot rendelt el a sebezhetőség átfogó megismerésére. A nem listázott termékek a tervezésükből adódóan nem támogatják a veszélyes 802.11r Gyors-BSS átviteli “kézfogást”, ezért nem tartoznak a veszélyeztetettek csoportjába. A márka jelenleg is együttműködik a WiFi chipset gyártókkal a megoldáson, és egy patch firmware is elérhetővé válik a következő hetekben.

A Zyxel frissítési ütemterve:

CVE ID

Sorozat/Modell

Hotfix elérhetőség

Standard elérhetőség

CVE-2017-13077

CVE-2017-13078

CVE-2017-13079

CVE-2017-13080

CVE-2017-13081

NWA1100-NH

2017 dec 31.

2018 február vagy korábban

WAP6405

N/A

2017 nov 1. vagy korábban

WAP6804

N/A

2017 nov 6. vagy korábban

WAP6806

N/A

2018 február vagy korábban

WRE2206

N/A

2018 február vagy korábban

WRE6505 v2

N/A

2018 január vagy korábban

WRE6606

N/A

2018 február vagy korábban

Cam3115

N/A

2018 február vagy korábban

CVE-2017-13082

NWA1120 sorozat

2017 nov 16.

2018 február vagy korábban

NWA5301-NJ

2017 nov 16.

2018 február vagy korábban

NWA5120 sorozat

2017 nov 16.

2018 február vagy korábban

WAC6100 sorozat

2017 nov 16.

2018 február vagy korábban

WAC6500 sorozat

2017 nov 16.

2018 február vagy korábban

A kliensek és hozzáférési pontok alapértelmezett verzióiban a 802.11r általában nincs engedélyezve, ezért a sebezhetőség a Zyxel ügyfeleinek nagy részét nem érinti a probléma. A Business Class hozzáférési pont, mely támogatja a 802.11r Fast-BSS átvitel (FT) kézfogást, ellenben a veszélyeztetett kategóriába tartozik. A biztonsági kockázatok elkerülése érdekében akik listában felsorolt eszközzel rendelkeznek, érdemes kikapcsolniuk a 802.11r szolgáltatást. A Hotfix megjelenése után az ügyfeleknek a lehető leghamarabb frissíteniük kell a teljesen biztonságos működéshez.

A sebezhetőséggel kapcsolatos további részletek itt érhetők el:

  1. US-CERT VU jegyzet: https://www.kb.cert.org/vuls/id/228519/

  2. Szakértői elemzés az esetről: https://www.krackattacks.com