Sicherheitsanfälligkeit in WPA2 Security (KRACKs)

TP-Link behandelt die neu bekannt gewordenen WPA2-Sicherheitslücken mit der notwendigen Sorgfalt. Über diese ist ein Angreifer im Abdeckungsbereich eines WLANs in der Lage, mittels "Key Reinstallation AttaCKs" ("KRACKs") Daten auszuspähen. Laut Entdecker Mathy Vanhoef greift der Angriff in den WPA2-Handshake ein. Es sind keine WLAN-Accesspoints und -Router, sondern nur WLAN-Clientgeräte betroffen. Anders gesagt, die Sicherheitslücke ist softwareseitig auf den WLAN-Clients zu schließen.

TP-Link nimmt dieses Problem sehr ernst und wird die Software aller aktuellen betroffenen Produkte korrigieren. Aktuelle Software ist unter www.tp-link.com/support.html erhältlich. Cloudprodukte erhalten Update-Benachrichtigungen über die Weboberfläche. Die Tether- und die Deco-App werden automatisch aktualisiert.

Details zu KRACK finden Sie in englischer Sprache unter https://www.krackattacks.com

Bedingungen für Verwundbarkeit:
* Räumliche Nähe: Der Angreifer muss sich innerhalb der Reichweite des anzugreifenden WLANs befinden.
* Zeitliche Einschränkung: Die Sicherheitslücke kann nur ausgenutzt werden, während ein WLAN-Gerät sich mit dem WLAN verbindet.

Hier eine Liste NICHT betroffener drahtloser TP-Link-Produkte:
* Sämtliche WLAN-Powerline-Adapter.
* Sämtliche Mobilrouter.
* Router und Gateways, die KEIN WDS verwenden.
* Als Accesspoint konfigurierte Repeater (AP-Modus) sowie native Accesspoints, die sich im Accesspoint-Modus befinden und kein WDS verwenden.

Betroffene TP-Link-Produkte:
* Router, die als Repeater, WISP-Client oder mit WDS konfiguriert sind:
TL-WR940N mit der Firmwareversion 3.17.1 Build 170717 Rel.55495n oder früher (Hardwareversion 3.0 oder früher nicht betroffen)
TL-WR841Nv13 mit der Firmwareversion 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n oder früher (Hardwareversion 12.0 oder früher nicht betroffen)
TL-WR840N mit der Firmwareversion 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n oder früher (Hardwareversion 2.0 oder früher nicht betroffen)
TL-WR941HP mit der Firmwareversion 3.16.9 Build 20170116 Rel.50912n oder früher
TL-WR841HP mit der Firmwareversion 3.16.9 Build 160612 Rel.67073n oder früher
TL-WR902AC mit der Firmwareversion 3.16.9 Build 20160905 Rel.61455n oder früher
TL-WR802N mit der Firmwareversion 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n oder früher
TL-WR810N mit der Firmwareversion 3.16.9 Build 160801 Rel.57365n oder früher
Router mit aktivierter WDS-Funktion (standardmäßig deaktiviert) können betroffen sein. Bitte schauen Sie in den FAQ nach, um herauszufinden, ob WDS an Ihrem Router aktiviert ist.
* Repeater, die sich NICHT im AP-Modus befinden (nur, wenn sie sich mit einer WLAN-Basis verbinden bzw. wiederverbinden)
TL-WA850RE mit der Firmwareversion 1.0.0 Build 20170609 Rel.34153 oder früher
TL-WA855RE mit der Firmwareversion 1.0.0 Build 20170609 Rel.36187 oder früher
TL-WA860RE mit der Firmwareversion 1.0.0 Build 20170609 Rel.38491 oder früher
RE200 mit der Firmwareversion 1.1.3 Build 20170818 Rel.58183 oder früher
RE210 mit der Firmwareversion 3.14.2 Build 160623 Rel.43391n oder früher
RE305 mit der Firmwareversion 1.0.0 Build 20170614 Rel.42952 oder früher
RE450 mit der Firmwareversion 1.0.2 Build 20170626 Rel.60833 oder früher
RE500 mit der Firmwareversion 1.0.1 Build20170210 Rel.59671 oder früher
RE650 mit der Firmwareversion 1.0.2 Build 20170524 Rel.58598 oder früher
* WLAN-Adapter
Archer T6E
Archer T9E
* Heim-WLAN-Komplettlösung
Deco M5 mit der Firmwareversion 1.1.5 Build 20170820 Rel.62483 oder früher
* Business-Router/CPEs/WBSs/CAPs
CAP300 mit der Firmwareversion 1.1.0 Build 20170601 Rel.60253 oder früher
CAP300-OUTDOOR mit der Firmwareversion 1.1.0 Build 20170601 Rel.60212 oder früher
CAP1750 mit der Firmwareversion 1.1.0 Build 20170601 Rel.60196 oder früher
CAP1200 mit der Firmwareversion 1.0.0 Build 20170801 Rel.61314 oder früher
TL-ER604W mit der Firmwareversion 1.2.0 Build 20160825 Rel.45880 oder früher
CPE520 mit der Firmwareversion 2.1.6 Build 20170908 Rel.45234 oder früher
CPE610 mit der Firmwareversion 2.1.5 Build 20170830 Rel. 58245 oder früher
CPE510 mit der Firmwareversion 2.1.6 Build 20170908 Rel. 45233 oder früher
CPE220 mit der Firmwareversion 2.1.6 Build 20170908 Rel. 45233 oder früher
CPE210 mit der Firmwareversion 2.1.6 Build 20170908 Rel. 45234 oder früher
WBS210 mit der Firmwareversion 2.1.0 Build 20170609 Rel. 57434 oder früher
WBS510 mit der Firmwareversion 2.1.6 Build 20170908 Rel. 45234 oder früher
* Smart-Home-Geräte
Intelligente Steckdosen: HS100, HS110
Intelligente Glühbirnen: LB100, LB110, LB120, LB130
Intelligente Repeater: RE350K, RE270K, RE370K
Kameras: NC250, NC260, NC450, KC120

Bis der Fehler für Ihr Produkt behoben wurde, empfehlen wir Ihnen folgende Verhaltensweise:

WLAN-Router: Stellen Sie sicher, dass Ihr WLAN-Router im normalen Routermodus arbeitet (also kein WDS). Installieren Sie auf Ihren Clientgeräten (Smartphones, Tablet-PCs und Computer) sämtliche verfügbaren Patches.

WLAN-Adapter: Installieren Sie sämtliche verfügbaren Patches.

Microsoft hat hier Patches zu dieser Sicherheitslücke bereitgestellt: https://portal.msrc.microsoft.com/de-DE/security-guidance/advisory/CVE-2017-13080

Zugehörige CVE-IDs

Der Sicherheitslücke wurden folgende "Common Vulnerabilities and Exposures (CVE)"-IDs zugeteilt:
    CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
    CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
    CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
    CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
    CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
    CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
    CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
    CVE-2017-13086: Reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
    CVE-2017-13087: Reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
    CVE-2017-13088: Reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame

Disclaimer

Die WPA2-Verwundbarkeiten bleiben bestehen, wenn Sie nicht alle empfohlenen Schritte der Abhilfe vollzogen haben. TP-Link schließt jede Haftung für vermeidbare Folgen aus.

Entgegen einigen Meldungen in den Medien können HTTPS- sowie VPN-Verbindungen (da diese unabhängig vom WLAN verschlüsselt sind) mit Hilfe der gegenständlichen Schwachstelle NICHT abgehört werden. Vertrauliche Daten können Sie solange so bedenkenlos wie zuvor über Ihre WLAN-Verbindung übertragen, wie diese separat verschlüsselt sind (z.B. über VPN oder HTTPS). Die Sicherheitslücke macht Ihre vertraulichen Daten nicht sichtbarer als sie in der übrigen Internet-Infrastruktur auch sind.

Dieser Artikel gilt für:
Security Advisory | Updated 10-18-2017 11:06:13 AM