WPA zranitelnost (KRACK) bezpečnostní oznámení

Popis

TP-Link si je vědom zranitelností v protokolu zabezpečení WPA2, které mohou ovlivnit některé TP-Link produkty. Útočník může v dosahu pokrytí Wi-Fi sítě zneužít těchto zranitelností pomocí útoků na principu reinstalace klíčů (KRACKs). Podle výzkumu KRACKs od Mathy Vanhoefa, který upozornil dodavatele na tuto zranitelnost, je útok zacílen na WPA2 handshake a nezneužívá Access Pointů, ale zaměřuje se na klienty. Všechny zranitelnosti mohou být opraveny aktualizacemi software, protože problémy souvisejí s nedostatky v implementaci.

TP-Link pracuje na řešení tohoto problému a bude pokračovat se zveřejňováním aktualizací software na: www.tp-link.com/support.html. Produkty s TP-Link Cloud budou dostávat upozornění na aktualizace automaticky prostřednictvím rozhraní webové správy, aplikace Tether nebo aplikace Deco.

Více informací o KRACK můžete najít pomocí odkazu: https://www.krackattacks.com.

Upozorňujeme, že dvě následující podmínky musí být splněny, aby bylo možné zneužít zranitelnosti KRACK:

  • Fyzická blízkost: K útoku může dojít pouze tehdy, je-li útočník v přímém dosahu vaší bezdrátové sítě.
  • Časové okno: K útoku může dojít pouze v okamžiku, kdy se klientské zařízení připojuje nebo přepojuje k Wi-Fi síti.

TP-Link produkty, které nejsou zranitelností ovlivněny:

Všechny Powerline adaptéry

Všechny mobilní Wi-Fi produkty

Routery a brány pracující v jejich výchozím režimu (režim Router) a režimu AP

Wi-Fi opakovače (Extendery) pracující v AP režimu

Business řady Wi-Fi EAP Access Pointů pracující v režimu AP

TP-Link produkty, které jsou zranitelností ovlivněny:

Routery pracující v režimu Repeater/WISP/Klient:

TL-WR940N s verzí Firmware 3.17.1 Build 170717 Rel.55495n nebo dřívější (Hardwarová verze 3.0 nebo dřívější nejsou ovlivněny)

TL-WR841Nv13 s verzí Firmware 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n nebo dřívější (Hardwarová verze 12.0 nebo dřívější nejsou ovlivněny)

TL-WR840N s verzí Firmware 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n nebo dřívější (Hardwarová verze 2.0 nebo dřívější nejsou ovlivněny)

TL-WR941HP s verzí Firmware 3.16.9 Build 20170116 Rel.50912n nebo dřívější

TL-WR841HP s verzí Firmware 3.16.9 Build 160612 Rel.67073n nebo dřívější

TL-WR902AC s verzí Firmware 3.16.9 Build 20160905 Rel.61455n nebo dřívější

TL-WR802N s verzí Firmware 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n nebo dřívější

TL-WR810N s verzí Firmware 3.16.9 Build 160801 Rel.57365n nebo dřívější

Routery s povolenou funkcí WDS (ve výchozím nastavení není povolena) mohou být ovlivněny. Jestliže chcete zkontrolovat, jestli je WDS na vašem routeru povoleno, podívejte se do FAQ.

Wi-Fi opakovače (Extendery) pracující v režimu Repeater během WPA2 handshake, který je iniciován pouze při připojování nebo přepojování k routeru:

TL-WA850RE s verzí Firmware 1.0.0 Build 20170609 Rel.34153 nebo dřívější

TL-WA855RE s verzí Firmware 1.0.0 Build 20170609 Rel.36187 nebo dřívější

TL-WA860RE s verzí Firmware 1.0.0 Build 20170609 Rel.38491 nebo dřívější

RE200 s verzí Firmware 1.1.3 Build 20170818 Rel.58183 nebo dřívější

RE210 s verzí Firmware 3.14.2 Build 160623 Rel.43391n nebo dřívější

RE305 s verzí Firmware 1.0.0 Build 20170614 Rel.42952 nebo dřívější

RE450 s verzí Firmware 1.0.2 Build 20170626 Rel.60833 nebo dřívější

RE500 s verzí Firmware 1.0.1 Build20170210 Rel.59671 nebo dřívější

RE650 s verzí Firmware 1.0.2 Build 20170524 Rel.58598 nebo dřívější

Bezdrátové adaptéry:

Archer T6E

Archer T9E

Wi-Fi Systém pro celý dům:

Deco M5 s verzí Firmware 1.1.5 Build 20170820 Rel.62483 nebo dřívější

Business VPN Router/CPE/WBS/CAP:

CAP300 s verzí Firmware 1.1.0 Build 20170601 Rel.60253 nebo dřívější

CAP300-Outdoor s verzí Firmware 1.1.0 Build 20170601 Rel.60212 nebo dřívější

CAP1750 s verzí Firmware 1.1.0 Build 20170601 Rel.60196 nebo dřívější

CAP1200 s verzí Firmware 1.0.0 Build 20170801 Rel.61314 nebo dřívější

TL-ER604W s verzí Firmware 1.2.0 Build 20160825 Rel.45880 nebo dřívější

CPE520 s verzí Firmware 2.1.6 Build 20170908 Rel.45234 nebo dřívější

CPE610 s verzí Firmware 2.1.5 Build 20170830 Rel. 58245 nebo dřívější

CPE510 s verzí Firmware 2.1.6 Build 20170908 Rel. 45233 nebo dřívější

CPE220 s verzí Firmware 2.1.6 Build 20170908 Rel. 45233 nebo dřívější

CPE210 s verzí Firmware 2.1.6 Build 20170908 Rel. 45234 nebo dřívější

WBS210 s verzí Firmware 2.1.0 Build 20170609 Rel. 57434 nebo dřívější

WBS510 s verzí Firmware 2.1.6 Build 20170908 Rel. 45234 nebo dřívější

Zařízení pro Chytrou domácnost:

Chytré zásuvky a vypínače: HS100, HS105, HS110, HS200

Chytré žárovky: LB100, LB110, LB120, LB130, LB200, LB230

Chytré opakovače se zásuvkou: RE350K, RE270K, RE370K

Kamery: NC250, NC260, NC450, KC120

Jak chránit svá zařízení

Dokud není dostupná aktualizace softwaru pro odstranění zranitelnosti vašeho produktu, je doporučeno provést následující opatření:

Pro bezdrátové routery: ujistěte se, že jsou vaše routery v režimu Router nebo AP a aktualizujte vydané záplaty k operačním systémům vašich chytrých telefonů, tabletů a počítačů.

Pro bezdrátové adaptéry: aktualizujte vydané záplaty operačních systémů vašich počítačů.

Aktualizace zabezpečení Microsoftu: Microsoft vydal opravy pro bezpečnostní problémy, jak je uvedeno v https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

FAQ - Jak zkontrolovat, jestli je funkce WDS použita na routerech TP-Link?

TP-Link pracuje na modelech zasažených tímto problémem a v následujících několika týdnech uvede firmware na svých oficiálních webových stránkách.

Přidružené CVE identifikátory

Následující identifikátory Common Vulnerabilities and Exposures - CVE byly přiděleny pro dohledání produktů zasažených specifickými variantami útoků na principu reinstalace klíčů:

  1. CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
  2. CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
  3. CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
  4. CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
  5. CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  6. CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
  7. CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
  8. CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
  9. CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
  10. CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame

Vyloučení odpovědnosti

Zranitelnost WPA2 zůstává v případě, že neprovedete doporučená opatření. TP-Link nenese odpovědnost za důsledky, které mohly být vyloučeny následováním doporučeních v tomto oznámení.

This Article Applies to:
Security Advisory | Updated 10-25-2017 09:50:50 AM