Til innhold

WPA2 svakheter - også kalt KRACK angrep

Vi vill med detta ge dig viktig information från Cisco om WPA2-svagheter som upptäckts. Det finns flera säkerhetsproblem i Wi-Fi Protected Access och Wi-Fi Protected Access II. Flera trådlösa Cisco-produkter påverkas av dessa problem.

Vad betyder det?

Kort sagt är WPA2 en säkerhetsmekanism som används i det trådlösa nätet. Dessa säkerhetsproblem kan tillåta återinstallation av en parvis tillfällig nyckel, en gruppnyckel eller en integritetsnyckel på antingen en trådlös klient eller en trådlös accesspunkt. Detta är ett “man-in-the-middle” -angrepp och både klient och angripare måste vara inom hörbar räckvidd från accesspunkten. En beskrivning av problemet hittar du här: https://www.krackattacks.com/

Goda råd just nu

Håll dig uppdaterad och se till att följa de råd du får. Känner du att ärendet är för komplext att hantera på egen hand rekommenderar vi dig att rådfråga en kompetent säkerhetspartner. Om du vill hantera detta på egen hand är det viktigt att du lappar drivrutinerna för operativsystemen på klientnivå. Om du har iOS-klienter i nätverket måste du se till att uppdatera AireOS så snart Cisco kommer ut med det. Under mellantiden rekommenderas du att avaktivera standarden för snabb roaming i accesspunkten. På så sätt kommer den inte längre att vara ett hot. Sedan sörjer du för att aktivera “rogue detection” för Mac spoofing-försök. När du vill se om någon försöker angripa dig via dina accesspunkter. Kom ihåg att detta inte skyddar dina klienter när de inte är inne på ditt nätverk, så se till att uppdatera så fort det kommer lösningar från OS-tillverkarna.

Rekommendationer från Cisco

Svagheten som upptäckts är till stor del riktad mot klientsidan. Det är viktigt att du lagar drivrutiner för operativsystemen på klientnivå. På infrastruktursidan kan bara en svaghet (CVE-2017-13082) utnyttjas om 802.11r/FT används.  Svagheten kan inte användas för att upptäcka wifi-lösenord, men för att läsa trafik om angriparen är på samma fysiska accesspunkt som klienten. Denna svaghet är nu uppklarad för alla accesspunkter Cisco har (minus Wave2) i 8.3.MR3 som släpptes i september. Cisco arbetar med att lägga in fix för 8.3 (för wave2) och 8.5, 8.2 och 8.0 för samtliga accesspunkter, fortlöpande i denna ordningsföljd.

Om du måste använda 802.11r eller adaptiv 11r p.g.a. IOS-klienter, måste du uppgradera AireOS så snart som möjligt, när Cisco postar det. Workaround under mellantiden är att avaktivera 11r/FT på kontroller och därmed är detta inte ett hot.

Sedan bör du aktivera “rogue detection” för Mac spoofing-försök. Detta visar dig om någon försöker utföra ett sådant angrepp via dina accesspunkter.
Förklaring i korthet här: https://blogs.cisco.com/security/wpa-vulns
Längre förklaring här: https://www.cisco.com/c/en/us/td/docs/wireless/technology/wlc/8-5/82463-wlc-config-best-practice.html#pgfId-380056

Detta kommer inte att skydda dina klienter när de inte är på ditt nätverk, därför är det absolut nödvändigt att dessa uppgraderas, så snart OS-tillverkarna kommer med sina lösningar. Ett tips är att söka upp CVE ID 13077 – 13088 på motsvarande Security Advisory Sites hos andra, inklusive klient-OS-tillverkarnas sajter, för uppdateringar av detta.

Cisco släpper uppdateringar fortlöpande för följande AireOS i denna ordning: 8.3/8.2/8.5/8.0.
Följ den här länken för uppdateringar under de kommande dagarna: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

Du kan också använda Cisco Notification Service för att hållas fortlöpande informerad om uppdateringar direkt från Cisco: anmäl dig här

Meraki

Samma sak gäller för Cisco Meraki-användare. 13082 kan slå här också och Meraki har redan släppt en fix för detta. Firmware-versioner MR 24.11 och MR 25.7 https://meraki.cisco.com/blog/2017/10/critical-802-11r-vulnerability-disclosed-for-wireless-networks/

Meraki-användare kan kontrollera under Help → 802.11r Vulnerability Impact på tangentbordet om något av deras nätverk kan vara utsatt för 13082 och därmed uppgradera direkt.

För de nio sista 13077 – 13088 som är klientriktade måste användarna uppdatera sina klienter. Bland andra Microsoft ska redan ha släppt sina patches.

Vill du ha mer information hittar du den under

Ciscos officiella svar hittar du här:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

Ciscos officiella blogginlägg som mer i detalj visar vad KRACK är och går igenom alla de 10 svagheterna i detalj, kan du läsa här: https://blogs.cisco.com/security/wpa-vulns

Från WiFi alliance har följande uttalande kommit: https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-security-update

Här är en lista från en icke-Cisco-källa som ger dig översikt över vad olika tillverkare gör:
https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

Vad kan vi göra åt problemet?

Sörj för att uppdatera dina klienter! Sårbarheten som kan rättas på infrastruktursidan träder i kraft först vid användning av 802.11r/FT och detta tas om hand av oss för dem som har driftsavtal. Har ni inget avtal med oss men ändå vill att vi ska hjälpa till med problemet, gör vi det naturligtvis gärna. Det är bara att ta kontakt, så kan en av våra konsulter hjälpa er.

Servicedesk

+46 (0)8-410 231 17

Kontakta oss 

+46 (0)8 410 23 100