timeПН-ПТ с 9:00 до 18:00
+7 (495) 916-72-53
Закажите обратный звонок

Внимание! Уязвимость KRACK в протоколе WPA2

Дата: 16.10.2017

  16 октября были опубликованы детали серьёзной уязвимости в протоколе безопасности WPA2 для Wi-Fi сетей. Злоумышленники с помощью KRACK (Key Reinstallation Attacks) — атак с переустановкой ключа — могут получить доступ к данным, передаваемым устройствами. Смена пароля сети не поможет предотвратить атаку. Важно отметить, что уязвимость обнаружена в самом протоколе безопасности, поэтому проблеме подвержена даже его надлежащая реализация.
 
Перед атакой незащищены все типы авторизации Wi-Fi: WPA-PSK, WPA2-PSK, WPA-Enterprise, WPA2-Enterprise.
  • При атаке на 4-стороннее рукопожатие может быть расшифрован трафик, отправляемый клиентом на точку доступа. А в случае использования TKIP (вместо AES), помимо расшифровки трафика злоумышленник способен подделывать пакеты данных.
  • При атаке на рукопожатие протокола Fast BSS Transition (802.11r) возможна дешифрация трафика, отправляемого точкой доступа к клиенту.
  • Также проблеме подвержены рукопожатие TDLS и ответ на переход в спящий режим WNM.

Проблема актуальна, когда злоумышленник находится в радиусе действия целевой сети, а клиент расположен не слишком близко к точке доступа. Для полной защиты от уязвимости требуется апгрейд программного обеспечения на точке доступа и на клиенте. Однако большинству из этих атак подвержены именно клиентские устройства: смартфоны, планшеты, ноутбуки, USB Wi-Fi адаптеры и т.п. В связи с этим обязательно займитесь вопросом обновления их ПО.

Компании Ubiquiti и MikroTik одними из первых обновили прошивки для исправления ситуации.

Так, Ubiquiti с целью защиты пользователей своих точек доступа UniFi выпустила микропрограмму версии 3.9.3.7537. Она устраняет уязвимость на всех затронутых моделях и доступна для загрузки. Инструкции по обновлению прошивки точек доступа можно найти здесь, а полный список изменений прошивки этой версии — здесь.

В данный момент бета-функция 802.11r ("Fast Roaming" в интерфейсе контроллера) всё ещё уязвима, поэтому рекомендуем временно выключить её. Ubiquiti активно работает над исправлением этой части, и в ближайшее время она также будет обновлена.

Для линейки airMAX при использовании проприетарного протокола airMAX проблема малоактуальна. Тем не менее, производитель дополнительно улучшил прошивки: используйте версии 8.4.2 для AC-моделей и 6.1.2 для M-моделей.

Устройства AmpliFi защищены начиная с версии 2.4.3. Прошивка 2.4.2 была частично затронута. Предыдущие версии тоже уязвимы.

Оборудование MikroTik на базе RouterOS версий 6.39.3, 6.40.4, 6.41rc не затронуто. Эта ОС изначально подверглась лишь части атак, но MikroTik улучшила процесс обмена ключами в соответствии с рекомендациями организаций, которые обнаружили уязвимость. На прошлой неделе вышли обновлённые прошивки, так что при регулярном апгрейде ПО дополнительных действий не требуется.

Всегда обновляйте ОС до последней версии, хотя в зависимости от беспроводного протокола и режима предлагается выполнить следующее:

  • nv2: обновление не требуется;
  • точка доступа 802.11 / nstreme без поддержки WDS: обновление не требуется;
  • CAPsMAN: обновление не требуется;
  • клиентское устройство 802.11 / nstreme (все режимы клиента) или точка доступа с поддержкой WDS: срочное обновление до исправленной версии.
 
Для точек доступа:  
Режим протокола Необходимость обновления
nv2 Нет
nstreme Нет
WiFi Нет
CAPsMAN WiFi Нет
WDS WiFi / nstreme Да
   
Для CPE-устройств (MikroTik в режиме Station):  
Режим протокола Необходимость обновления
nv2 Нет
WiFi Да
nstreme Да

 

Устройства TP-Link серии EAP избежали угрозы. Модели линеек CAP и WBS (только в режимах клиента и ретранслятора) в ближайшее время будут обновлены.

Оборудование LigoWave NFT подвержено атаке исключительно при работе в режиме повторителя или Easy Mesh. Линейка LigoDLB уязвима только в режиме Station 802.11. Для них скоро выйдет обновление прошивки (NFT / LigoDLB).

 

Сделать ваш Wi-Fi неуязвимым помогут следующие действия:

1. Cрочно установить обновления безопасности на пользовательские устройства (обратитесь к производителю своего смартфона).
2. Обновить ПО на сетевом оборудовании и по возможности избегать общественных точек доступа.
3. Использовать шифрование данных HTTPS для наиболее важных задач — VPN.