Luki w protokole zabezpieczeń WPA2 (KRACK)

Opis problemu

TP-Link ma świadomość istnienia luk w protokole zabezpieczeń WPA2, które mają negatywny wpływ na niektóre produkty sieciowe TP-Link. Osoba znajdująca się w zasięgu danej sieci Wi-fi może dokonać ataku na tą sieć poprzez reinstalację już istniejącego klucza (atak KRACK). Według Mathy'ego Vanhoefa, autora pracy naukowej na temat ataków KRACK, który odkrył i ujawnił ten problem, atak polega na manipulacji procesu negocjacji podłączenia klienta do sieci WPA2 (4-way handshake), zatem głównym celem ataku nie jest punkt dostępowy, ale klient. Wszelkie luki mogą być załatane na poziomie aktualizacji oprogramowania, gdyż problemy te związane są z błędami implentacji protokołu WPA2.

Firma TP-Link pracuje nad rozwiązaniem tego problemu i będzie na bieżąco publikować aktualizacje oprogramowania na stronie: www.tp-link.com.pl/support.html. Urządzenia z włączoną funkcją TP-Link Cloud będą automatycznie otrzymywać powiadomienia o dostępnych aktualizacjach na stronie zarządzania siecią oraz poprzez aplikacje Tether i Deco.

Więcej informacji na temat KRACK można znaleźć pod adresem: https://www.krackattacks.com.

Warunki, które wpływają na podatność urządzeń na ataki:

  • Fizyczna bliskość: do ataku może dojść tylko w sytuacji, gdy osoba dokonująca ataku znajduje się wystarczająco blisko urządzenia sieciowego, a zatem w zasięgu danej sieci bezprzewodowej.
  • Okno czasowe: atak możliwy jest tylko w sytuacji, gdy klient nawiązuje nowe lub ponowne połączenie z siecią Wi-fi.

Produkty TP-Link, których problem ten nie dotyczy:

Wszystkie transmitery sieciowe

Wszystkie bezprzewodowe urządzenia przenośne

Routery i bramy sieciowe pracujące w trybie domyślnym (tryb Router) i w trybie AP

Wzmacniacze sygnału pracujące w trybie AP

Biznesowe bezprzewodowe punkty dostępowe EAP pracujące w trybie AP

Zagrożone produkty TP-Link:

Routery pracujące w trybie Repeater/WISP/Client:

TL-WR940N z firmwarem w wersji 3.17.1 Build 170717 Rel.55495n lub wcześniejszej (nie dotyczy wersji sprzętowej 3.0 lub wcześniejszej)

TL-WR841Nv13 z firmwarem w wersji 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n lub wcześniejszej (nie dotyczy wersji sprzętowej 12.0 lub wcześniejszej)

TL-WR840N z firmwarem w wersji 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n lub wcześniejszej (nie dotyczy wersji sprzętowej 2.0 lub wcześniejszej)

TL-WR902AC z firmwarem w wersji 3.16.9 Build 20160905 Rel.61455n lub wcześniejszej

TL-WR802N z firmwarem w wersji 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n lub wcześniejszej

TL-WR810N z firmwarem w wersji 3.16.9 Build 160801 Rel.57365n lub wcześniejszej

Routery z włączoną funkcją WDS (domyślnie wyłączoną) także mogą być zagrożone. Zapoznaj się z instrukcją FAQ, aby dowiedzieć się w jaki sposób sprawdzić, czy router ma włączoną funkcję WDS.

Wzmacniacze sygnału pracujące w trybie Repeater podczas wymiany informacji WPA2 handshake, inicjowane tylko podczas pierwszego lub kolejnego łączenia się z routerem:

TL-WA850RE z firmwarem w wersji 1.0.0 Build 20170609 Rel.34153 lub wcześniejszej

TL-WA855RE z firmwarem w wersji 1.0.0 Build 20170609 Rel.36187 lub wcześniejszej

TL-WA860RE z firmwarem w wersji 1.0.0 Build 20170609 Rel.38491 lub wcześniejszej

RE200 z firmwarem w wersji 1.1.3 Build 20170818 Rel.58183 lub wcześniejszej

RE210 z firmwarem w wersji 3.14.2 Build 160623 Rel.43391n lub wcześniejszej

RE305 z firmwarem w wersji 1.0.0 Build 20170614 Rel.42952 lub wcześniejszej

RE450 z firmwarem w wersji 1.0.2 Build 20170626 Rel.60833 lub wcześniejszej

RE500 z firmwarem w wersji 1.0.1 Build20170210 Rel.59671 lub wcześniejszej

RE650 z firmwarem w wersji 1.0.2 Build 20170524 Rel.58598 lub wcześniejszej

Karty sieciowe:

Archer T6E

Archer T9E

Domowe systemy Wi-fi:

Deco M5 z firmwarem w wersji 1.1.5 Build 20170820 Rel.62483 lub wcześniejszej

Biznesowe routery VPN/CPE/WBS/CAP:

CAP300 z firmwarem w wersji 1.1.0 Build 20170601 Rel.60253 lub wcześniejszej

CAP300-Outdoor z firmwarem w wersji 1.1.0 Build 20170601 Rel.60212 lub wcześniejszej

CAP1750 z firmwarem w wersji 1.1.0 Build 20170601 Rel.60196 lub wcześniejszej

CAP1200 z firmwarem w wersji 1.0.0 Build 20170801 Rel.61314 lub wcześniejszej

TL-ER604W z firmwarem w wersji 1.2.0 Build 20160825 Rel.45880 lub wcześniejszej

CPE610 z firmwarem w wersji 2.1.5 Build 20170830 Rel. 58245 lub wcześniejszej

CPE510 z firmwarem w wersji 2.1.6 Build 20170908 Rel. 45233 lub wcześniejszej

CPE210 z firmwarem w wersji 2.1.6 Build 20170908 Rel. 45234 lub wcześniejszej

WBS210 z firmwarem w wersji 2.1.0 Build 20170609 Rel. 57434 lub wcześniejszej

WBS510 z firmwarem w wersji 2.1.6 Build 20170908 Rel. 45234 lub wcześniejszej

Urządzenia Smart:

Urządzenia Smart Plug and Switch: HS100, HS105, HS110

Żarówki Smart: LB100, LB110, LB120, LB130

Wzmacniacze sieci bezprzewodowej ze smart plugiem: RE270K

Kamery: NC250, NC450

Jak chronić urządzenia

Do czasu udostępnienia aktualizacji oprogramowania łatającej luki w zabezpieczeniach dla danego urządzenia, zaleca się zastosować następujące środki ostrożności:

Routery bezprzewodowe: Upewnij się, że router pracuje w trybie Router lub AP i zaktualizuj systemy operacyjne na swoich smartfonach, tabletach i komputerach.

Karty sieciowe: Zaktualizuj systemy operacyjne na swoich komputerach.

Aktualizacja zabezpieczeń Microsoft: firma Microsoft rozwiązała problemy dotyczące bezpieczeństwa: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

FAQ z odpowiedzią na pytanie jak sprawdzić czy funkcja WDS jest aktywna na routerach TP-Link?

TP-Link pracuje nad wyeliminowaniem zagrożenia i w ciągu najbliższych kilku tygodni udostępni aktualizacje firmware'ów na oficjalnej stronie internetowej.

Przydzielone identyfikatory CVE

Poniższe identyfikatory CVE (Common Vulnerabilities and Exposures) przydzielono, aby śledzić, którymi typami ataków zagrożone są określone produkty:

  1. CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
  2. CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
  3. CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
  4. CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
  5. CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  6. CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
  7. CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
  8. CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
  9. CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
  10. CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame

Wyłączenie odpowiedzialności

Luki w zabeczpieczeniach WPA2 mogą stanowić zagrożenie dla urządzeń w przypadku, gdy użytkownik nie podejmie wszystkich zalecanych działań zapobiegawczych. Firma TP-Link nie ponosi odpowiedzialności za konsekwencje nie zastosowania się do zaleceń zawartych w niniejszym oświadczeniu.

Ten artykuł dotyczy:
Security Advisory | Updated 10-18-2017 09:45:24 AM