Til innhold

WPA2 svakheter - også kalt KRACK angrep

Vi vil med dette gi dere viktig informasjon fra Cisco om WPA2 svakheter som er oppdaget. Det er flere sikkerhetsproblemer i Wi-Fi Protected Access og Wi-Fi Protected Access II. Flere Cisco-trådløse produkter påvirkes av disse problemene.

Hva betyr dette?

Kort forklart er WPA2 en sikkerhetsmekanisme som benyttes i det trådløse nettet. Disse sikkerhetsproblemene kan tillate reinstallering av en parvis midlertidig nøkkel, en gruppenøkkel eller en integritetsnøkkel på enten en trådløs klient eller et trådløst aksesspunkt. Dette er et «man-in-the-middle» angrep, og både klient og angriper må være innen hørbar rekkevidde fra aksesspunktet. En beskrivelse av problemet finner du her: https://www.krackattacks.com/

Gode råd akkurat nå

Hold deg oppdatert og sørg for å følge rådene som blir gitt. Føler du at saken er for kompleks til å håndtere dette på egenhånd så anbefaler vi deg å søke råd hos en kompetent sikkerhetspartner. Ønsker du å håndtere dette på egenhånd er det viktig at du patcher driverne for operativsystemene på klientnivå. Har du iOS klienter i nettverket må du sørge for å oppdatere AireOS så raskt Cisco kommer ut med denne. I mellomtiden anbefales det å deaktivere standarden for rask roaming i aksesspunktet. På den måten vil ikke dette lenger være en trussel. Sørger du deretter for å aktivere «rogue detection» for Mac spoofing forsøk. Da vil du se om noen prøver å angripe deg via aksesspunktene dine. Husk at dette ikke vil beskytte klientene dine når de ikke er på ditt nettverk, så sørg for å oppdatere så fort det kommer løsninger fra OS produsentene.

Anbefalinger fra Cisco

Svakheten som er avdekket er i stor grad rettet mot klient siden. Det er viktig at du patcher drivere på operativsystemene på klient nivå. På infrastruktursiden kan kun en svakhet (CVE-2017-13082) utnyttes hvis 802.11r/FT er i bruk.  Svakheten kan ikke brukes til å avdekke WiFi-passord, men lese trafikk hvis angriper er på samme fysiske aksesspunkt som klienten. Denne svakheten er nå rettet opp for alle aksesspunkter Cisco har (minus Wave2) i 8.3.MR3 som ble sluppet i september. Cisco jobber med å legge inn fix for 8.3 (for wave2) og 8.5, 8.2 og 8.0 for samtlige aksesspunkter, fortløpende i denne rekkefølgen.

Hvis du må bruke 802.11r eller adaptiv 11r pga IOS klienter, så må du oppgradere AireOS så raskt som mulig når Cisco poster denne. Workaround i mellomtiden er å disable 11r/FT på kontroller, og dermed er ikke dette en trussel.

Deretter bør du enable Rogue Detection for Mac spoofing forsøk. Dette vil vise deg om noen forsøker å utføre et slikt angrep via dine aksesspunkter.
Kort forklart her: https://blogs.cisco.com/security/wpa-vulns
Lengre forklart her: https://www.cisco.com/c/en/us/td/docs/wireless/technology/wlc/8-5/82463-wlc-config-best-practice.html#pgfId-380056

Dette vil ikke beskytte dine klienter når de ikke er på ditt nettverk, derfor er det kritisk at disse blir oppgradert så fort OS produsentene kommer med sine løsninger. Et tips er å søke opp CVE IDs 13077-13088 på tilsvarende Security Advisory Sites hos andre, inkludert klient OS produsentene sine siter, for oppdateringer på dette.

Cisco slipper oppdateringer fortløpende for følgende AireOS i rekkefølge: 8.3/8.2/8.5/8.0.
Følg denne linken for oppdateringer i dagene som kommer: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

Du kan også bruke Cisco Notification Service for å holdes fortløpende informert om oppdateringer direkte fra Cisco: sign up here

Meraki

Det samme gjelder for Cisco Meraki brukere. 13082 kan treffe her også, og Meraki har allerede sluppet en fiks for dette. Firmware versjoner MR 24.11 og MR 25.7 https://meraki.cisco.com/blog/2017/10/critical-802-11r-vulnerability-disclosed-for-wireless-networks/

Meraki brukere kan sjekke under Help → 802.11r Vulnerability Impact på deres dashboard om noen av deres nettverk kan være utsatt for 13082 og dermed oppgradere direkte.

For de ni siste 13077-13088 som er klient rettet, må brukerne oppdatere klientene sine. Microsoft blant annet, skal ha sluppet sine patcher allerede.

Ønsker du ytterligere informasjon finner du dette under

Cisco sin offisielle respons finner du her:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

Ciscos offisielle bloggpost som tar for seg mer i detalj hva KRACK er og går gjennom alle 10 svakheter i detalj, kan du lese her: https://blogs.cisco.com/security/wpa-vulns

Fra WiFi alliance er det kommet følgende statement: https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-security-update

Her er en liste fra en ikke-Cisco kilde som gir deg oversikt over hva ulike produsenter gjør:
https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

Hva kan vi gjøre med problemet?

Sørg for å oppdatere klientene deres! Sårbarheten som kan rettes på infrastruktursiden trer kun i kraft ved bruk av 802.11r/FT og dette vil bli tatt hånd om av oss for de som har driftsavtale. Har dere ikke avtale med oss, men ønsker allikevel at vi skal hjelpe til med problemet, så gjør vi selvfølgelig gjerne det. Det er bare å ta kontakt og så vil en av våre konsulenter kunne hjelpe deg.

Teknisk Support

23 03 59 50

Kontakt oss

23 03 59 00