Критическая уязвимость KRACK в протоколе WiFi - обновления от производителей

Критическая уязвимость WiFi KRACK и обновления производителей

6 октября была обнародована информация о критической уязвимости беспроводного оборудования в протоколах шифрования WPA2. Специалист бельгийского университета Мэти Ванхов обнаружил ее летом, 28.08.2017 всем производителям было разослано оповещение о проблеме и было предоставлено время на устранение.

Проблема получила название KRACK и представляет собой несколько уязвимостей, обнаруженных в протоколе WPA2. Все оборудование, в котором защита реализована по этому стандарту (даже если она реализована абсолютно правильно), находится под угрозой взлома и кражи данных.

Это, фактически означает, что ЛЮБОЕ устройство с WiFi модулем потенциально доступно для взлома. Причем большему риску подвергаются не столько роутеры или точки доступа, сколько клиентские устройства: смартфоны, ноутбуки, планшеты и проч., а также устройства, работающие в режиме клиента.

Подробнее об уязвимостях

Полную информацию вы можете найти на сайте, созданном Мэтью Ванхов: https://www.krackattacks.com/. На сайте есть в том числе видео с тестовым взломом и ответы на самые популярные вопросы.
Информацию о том, какие производители исправили проблему, какие нет, и от каких пока нет данных, можно найти здесь: https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
Уязвимости подвержены все гаджеты с WiFi, независимо от того, какая ОС на них установлена. У устройств на базе Android и Linux - повышенный риск взлома.
Атакам подвержены все наборы шифрования, как старый WEP-протокол, так и новые WPA2 с AES, WPA-TKIP, AES-CCMP, GCMP и т. д.
В первую очередь, под угрозой находятся клиентские устройства или оборудование, работающее в режиме клиента.
Защищенные протоколы https не спасают от кражи данных.

Общие рекомендации

Как можно скорее обновить смартфоны, ноутбуки и другие устройства с беспроводным WiFi модулем до версии ОС или прошивки, рекомендованной производителем как защищенной от KRACK.
Смена пароля WiFi никак не влияет на устранение уязвимостей.
Отключить использование 802.11r (быстрый роуминг).

Реакция MikroTik

На данный момент в сводке CERT/CC продукция Микротик значится как незатронутая https://www.kb.cert.org/vuls/id/CHEU-ARMJNK.

Обновления безопасности компания выпустила в релизе от 03.10.2017: https://mikrotik.com/download/changelogs

В пояснениях производитель рекомендует:

по умолчанию, конечно же, желательно обновить все ваши устройства до последней версии (v6.39.3, v6.40.4, v6.41rc безопасны);
устройства, использующие протокол nv2 - действий не требуется (сам протокол, по умолчанию, очень отличается о стандартного);
устройства, использующие протоколы 802.11/nstreme, работающие в режиме AP без WDS - действий не требуется;
CAPsMAN - действий не требуется;
устройства, использующие протоколы 802.11/nstreme, работающие во всех клиентских режимах, а также в режиме AP с WDS - необходимо обновиться как можно скорее.

Обсуждение на форуме производителя: https://forum.mikrotik.com/viewtopic.php?f=21&t=126695#p623324

Обратите внимание, что по факту, несмотря на успокаивающую формулировку, проблемам подвержены устройства MikroTik, работающие в режиме клиента и AP с WDS на протоколах 802.11/nstreme, и их необходимо обновить.

Реакция Ubiquiti

Компания Ubiquiti оказалась в числе первых производителей беспроводного оборудования, отреагировавших на обнародование сведений об уязвимости протоколов шифрования WPA и WPA2. Но пока вендор выпустил только обновления прошивок для линейки UniFi и дал пояснения относительно остальных продуктов.

UniFi

В таблице представлены ссылки на скачивание прошивки с патчем, отдельные для разных моделей. Обратите внимание, что это версия прошивки точек, не контроллера.

Модель	Ссылка для скачивания прошивки	Контрольная сумма
UAP-AC-LITE UAP-AC-LR UAP-AC-PRO UAP-AC-M UAP-AC-M-PRO UAP-AC-IW UAP-AC-IW-PRO	v.3.9.3.7537	md5
UAP-AC-HD UAP-AC-SHD	v.3.9.3.7537	md5
UAP UAP-LR UAP-Outdoor UAP-Outdoor5	v.3.9.3.7537	md5
UAP v2 UAP-LR v2	v.3.9.3.7537	md5
UAP-PRO	v.3.9.3.7537	md5
UAP-Outdoor+	v.3.9.3.7537	md5
UAP-IW	v.3.9.3.7537	md5

Модели UAP-AC, UAP-AC v2, UAP-AC-Outdoor обновлять не нужно - проблема их не затронула.

Кроме того, Ubiquiti рекомендует пока не использовать доступную в бета-версии функцию быстрого роуминга по протоколу 802.11r.

AirMax

Компания сообщает, что часть уязвимостей уже устранена в прошивках v8.4.0 (для устройств AC) и v6.0.7 (для устройств серии M). Окончательно проблема будет устранена в версиях 8.4.2, 6.1.2. Использование протокола airMAX устраняет угрозу большинства простых атак.

Прошивка airOS v8.4.0.

Прошивка airOS v6.0.7.

AmpliFi

В этой линейке безопасны прошивки, начиная с версии v2.4.3. Версии до нее - частично затронуты.