Verklaring over de WPA2-kwetsbaarheid (KRACKs)

TP-Link is op de hoogte van de kwetsbaarheden in het beveiligingsprotocol WPA2 dat ook van invloed is op sommige producten van TP-Link. Een aanvaller die zich binnen het bereik van een draadloos wifi-netwerk bevindt, kan misbruik maken van deze kwetsbaarheden door middel van key reinstallation attacks (KRACKs). Volgens het onderzoeksrapport over KRACK van Mathy Vanhoef, die deze kwetsbaarheid onder de aandacht heeft gebracht, is de aanval gericht op de WPA2 handshake en op clients, maar niet op accesspoints. Alle kwetsbaarheden kunnen worden opgelost door middel van software-updates omdat de problemen veroorzaakt worden door fouten tijdens de implementatie.

TP-Link werkt aan een oplossing voor dit probleem en zal software-updates plaatsen op:  www.tp-link.com/support.html. In het geval van producten waarbij de TP-Link Cloud is ingeschakeld zullen er automatisch meldingen over updates verschijnen in de webmanagement interface, de Tether app of Deco app.

Meer informatie over KRACK vindt u op: https://www.krackattacks.com.

Houd er rekening mee dat er aan de volgende twee voorwaarden moet worden voldaan om misbruik te maken van de kwetsbaarheid voor KRACK:

  • Fysieke nabijheid: een aanval is alleen mogelijk wanneer de aanvaller zich fysiek binnen het draadloze bereik van uw netwerk bevindt.
  • Tijdsinterval: een aanval is alleen mogelijk wanneer een client (opnieuw) verbinding maakt met een wifi-netwerk.

Producten van TP-Link waarop dit geen invloed heeft:

Alle powerline adapters

Alle mobiele wifi-producten

Routers en gateways die gebruik maken van de standaardmodus (Router-modus) en AP-modus

Range extenders die gebruik maken van de AP-modus

Accesspoints van de zakelijke EAP-serie die gebruik maken van de AP-modus

Producten van TP-Link waarop dit wel invloed heeft:

Routers die gebruik maken van de Repeater-modus/WISP-modus/Client-modus:

TL-WR940N met firmwareversie 3.17.1 Build 170717 Rel.55495n of eerder (op hardwareversie 3.0 of eerder heeft dit geen invloed)

TL-WR841Nv13 met firmwareversie 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n of eerder (op hardwareversie 12.0 of eerder heeft dit geen invloed)

TL-WR840N met firmwareversie 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n of eerder (op hardwareversie 2.0 of eerder heeft dit geen invloed)

TL-WR941HP met firmwareversie 3.16.9 Build 20170116 Rel.50912n of eerder

TL-WR841HP met firmwareversie 3.16.9 Build 160612 Rel.67073n of eerder

TL-WR902AC met firmwareversie 3.16.9 Build 20160905 Rel.61455n of eerder

TL-WR802N met firmwareversie 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n of eerder

TL-WR810N met firmwareversie 3.16.9 Build 160801 Rel.57365n of eerder

Routers waarbij de WDS-functie is ingeschakeld (standaard uitgeschakeld) kunnen getroffen worden. Raadpleeg de FAQ om te controleren of de WDS-functie van uw router is ingeschakeld. 

Range Extenders die gebruik maken van de Repeater-modus tijdens een WPA2 handshake die alleen tot stand komt als er (opnieuw) verbinding wordt gemaakt met een router:

TL-WA850RE met firmwareversie 1.0.0 Build 20170609 Rel.34153 of eerder

TL-WA855RE met firmwareversie 1.0.0 Build 20170609 Rel.36187 of eerder

TL-WA860RE met firmwareversie 1.0.0 Build 20170609 Rel.38491 of eerder

RE200 met firmwareversie 1.1.3 Build 20170818 Rel.58183 of eerder

RE210 met firmwareversie 3.14.2 Build 160623 Rel.43391n of eerder

RE305 met firmwareversie 1.0.0 Build 20170614 Rel.42952 of eerder

RE450 met firmwareversie 1.0.2 Build 20170626 Rel.60833 of eerder

RE500 met firmwareversie 1.0.1 Build 20170626 Rel.59671 of eerder

RE650 met firmwareversie 1.0.2 Build 20170524 Rel.58598 of eerder

Draadloze adapters:

Archer T6E

Archer T9E

Volledige Home wifi-systeem:

Deco M5 met firmwareversie 1.1.5 Build 20170820 Rel.62483 of eerder

Zakelijke VPN-routers/CPE/WBS/CAP:

CAP300 met firmwareversie 1.1.0 Build 20170601 Rel.60253 of eerder

CAP300-Outdoor met firmwareversie 1.1.0 Build 20170601 Rel.60212 of eerder

CAP1750 met firmwareversie 1.1.0 Build 20170601 Rel.60196 of eerder

CAP1200 met firmwareversie 1.0.0 Build 20170801 Rel.61314 of eerder

TL-ER604W met firmwareversie 1.2.0 Build 20160825 Rel.45880 of eerder

CPE520 met firmwareversie 2.1.6 Build 20170908 Rel.45234 of eerder

CPE610 met firmwareversie 2.1.5 Build 20170830 Rel. 58245 of eerder

CPE510 met firmwareversie 2.1.6 Build 20170908 Rel. 45233 of eerder

CPE220 met firmwareversie 2.1.6 Build 20170908 Rel. 45233 of eerder

CPE210 met firmwareversie 2.1.6 Build 20170908 Rel. 45234 of eerder

WBS210 met firmwareversie 2.1.0 Build 20170609 Rel. 57434 of eerder

WBS510 met firmwareversie 2.1.6 Build 20170908 Rel. 45234 of eerder

Smart home-apparaten:

Smart Plugs en Switch: HS100, HS105, HS110, HS200

Smart-lampen: LB100, LB110, LB120, LB130, LB200, LB230

Smart Repeater met Plugs: RE350K, RE270K, RE370K

Camera's: NC250, NC260, NC450, KC120

Hoe kunt u uw apparaten beschermen

Totdat er een software-update beschikbaar is waarmee de kwetsbaarheid van uw product wordt verholpen, raden we aan om de volgende voorzorgsmaatregelen te treffen:

Voor draadloze routers: zorg ervoor dat uw routers in de Router-modus of AP-modus staan en patch het besturingssysteem van uw smartphones, tablets en computers.

Voor draadloze adapters: patch het besturingssysteem van uw computers.

Microsoft beveiligingsupdate: Microsoft heeft dergelijke beveiligingsproblemen opgelost, zie:  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

FAQ op how to check if WDS function is used on TP-Link routers?

TP-Link werkt aan een oplossing voor de getroffen modellen en plaatst de komende weken firmware op de officiële website.

Bijbehorende CVE identifiers

De volgende Common Vulnerabilities and Exposures (CVE) identifiers zijn toegewezen om na te gaan welke producten zijn getroffen door key reinstallation attacks:

  1. CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
  2. CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
  3. CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
  4. CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
  5. CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  6. CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
  7. CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
  8. CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
  9. CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
  10. CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame

Disclaimer

De kwetsbaarheden van WPA2 blijven bestaan als u de aanbevolen maatregelen niet neemt. TP-Link is niet aansprakelijk voor de gevolgen die vermeden hadden kunnen als u de aanbevelingen had opgevolgd die in deze verklaring staan vermeld.

 

This Article Applies to:
Security Advisory | Updated 11-06-2017 08:03:13 AM