Критическая уязвимость KRACK в протоколе WiFi - обновления от производителей

6 октября была обнародована информация о критической уязвимости беспроводного оборудования в протоколах шифрования WPA2. Специалист бельгийского университета Мэти Ванхов обнаружил ее летом, 28.08.2017 всем производителям было разослано оповещение о проблеме и было предоставлено время на устранение.

Проблема получила название KRACK и представляет собой несколько уязвимостей, обнаруженных в протоколе WPA2. Все оборудование, в котором защита реализована по этому стандарту (даже если она реализована абсолютно правильно), находится под угрозой взлома и кражи данных.

Это, фактически означает, что ЛЮБОЕ устройство с WiFi модулем потенциально доступно для взлома. Причем большему риску подвергаются не столько роутеры или точки доступа, сколько клиентские устройства: смартфоны, ноутбуки, планшеты и проч., а также устройства, работающие в режиме клиента. 

Подробнее об уязвимостях

• Полную информацию вы можете найти на сайте, созданном Мэтью Ванхов: https://www.krackattacks.com/. На сайте есть в том числе видео с тестовым взломом и ответы на самые популярные вопросы.
• Информацию о том, какие производители исправили проблему, какие нет, и от каких пока нет данных, можно найти здесь: https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
• Уязвимости подвержены все гаджеты с WiFi, независимо от того, какая ОС на них установлена. У устройств на базе Android и Linux - повышенный риск взлома.
• Атакам подвержены все наборы шифрования, как старый WEP-протокол, так и новые WPA2 с AES, WPA-TKIP, AES-CCMP, GCMP и т. д.
• В первую очередь, под угрозой находятся клиентские устройства или оборудование, работающее в режиме клиента.
• Защищенные протоколы https не спасают от кражи данных.

Общие рекомендации

• Как можно скорее обновить смартфоны, ноутбуки и другие устройства с беспроводным  WiFi модулем до версии ОС или прошивки, рекомендованной производителем как защищенной от KRACK.
• Смена пароля WiFi никак не влияет на устранение уязвимостей.
• Отключить использование 802.11r (быстрый роуминг).

Реакция MikroTik

На данный момент в сводке CERT/CC продукция Микротик значится как незатронутая https://www.kb.cert.org/vuls/id/CHEU-ARMJNK.

Обновления безопасности компания выпустила в релизе от 03.10.2017: https://mikrotik.com/download/changelogs

В пояснениях производитель рекомендует:

• по умолчанию, конечно же, желательно обновить все ваши устройства до последней версии (v6.39.3, v6.40.4, v6.41rc безопасны);
• устройства, использующие протокол nv2 - действий не требуется (сам протокол, по умолчанию, очень отличается о стандартного);
• устройства, использующие протоколы 802.11/nstreme, работающие в режиме AP без WDS - действий не требуется;
• CAPsMAN - действий не требуется;
• устройства, использующие протоколы 802.11/nstreme, работающие во всех клиентских режимах, а также в режиме AP с WDS - необходимо обновиться как можно скорее.

Обсуждение на форуме производителя: https://forum.mikrotik.com/viewtopic.php?f=21&t=126695#p623324

Обратите внимание, что по факту, несмотря на успокаивающую формулировку, проблемам подвержены устройства MikroTik, работающие в режиме клиента и AP с WDS на протоколах 802.11/nstreme, и их необходимо обновить.

Реакция Ubiquiti

Компания Ubiquiti оказалась в числе первых производителей беспроводного оборудования, отреагировавших на обнародование сведений об уязвимости протоколов шифрования WPA и WPA2. Но пока вендор выпустил только обновления прошивок для линейки UniFi и дал пояснения относительно остальных продуктов.

UniFi

В таблице представлены ссылки на скачивание прошивки с патчем, отдельные для разных моделей. Обратите внимание, что это версия прошивки точек, не контроллера.

Модели UAP-AC, UAP-AC v2, UAP-AC-Outdoor обновлять не нужно - проблема их не затронула.

Кроме того, Ubiquiti рекомендует пока не использовать доступную в бета-версии функцию быстрого роуминга по протоколу 802.11r.

AirMax

Компания сообщает, что часть уязвимостей уже устранена в прошивках v8.4.0 (для устройств AC) и v6.0.7 (для устройств серии M). Окончательно проблема будет устранена в версиях 8.4.2, 6.1.2. Использование протокола airMAX устраняет угрозу большинства простых атак.

Прошивка airOS v8.4.0.

Прошивка airOS v6.0.7.

AmpliFi

В этой линейке безопасны прошивки, начиная с версии v2.4.3. Версии до нее - частично затронуты.