WPA & WPA 2 protocol kwetsbaarheden

Wat is er gebeurd?

Op 16 Oktober 2017 heeft een onderzoeker van de Universiteit Leuven een onderzoek gepubliceerd met daarin een aantal kwetsbaarheden in de WiFi Protected Access en WiFi Protected Access 2 protocollen. Dit zijn kwetsbaarheden in de protocollen die alle fabrikanten treffen, zowel van infrastructuur als van clients. Deze kwetsbaarheden zijn ook bekend onder de naam Key Reinstallation AttaCK (KRACK).

Welke Cisco producten zijn kwetsbaar?

Het Cisco Product Security Incident Response Team (PSIRT) heeft een Advisory uitgebracht met alle kwetsbare producten.

Wat is de impact?

Er zijn in totaal 10 kwetsbaarheden gevonden:

  • 9 kwetsbaarheden zijn van toepassing op draadloze clients
  • 1 kwetsbaarheid is van toepassing op infrastructuur (APs)

Om geheel veilig te zijn, moeten de kwetsbaarheden zowel in de infrastructuur, als in de clients geadresseerd worden, alleen de infrastructuur aanpassen is NIET voldoende.

De enige kwetsbaarheid van toepassing op de infrastructuur is CVE-2017-13082, en heeft betrekking op de mogelijkheid om bij gebruik van 802.11r Fast BSS Transition het AP een eerder gebruikte sleutel te laten hergebruiken.

De overige kwetsbaarheden laten een man-in-the-middle aanvaller verschillende sleutels in de client manipuleren.

NB: Geen van de aanvallen is in staat om WiFi wachtwoorden te achterhalen.

Wat kan/moet ik doen in de Cisco Infrastructuur?

De infrastructuur is alleen kwetsbaar als 802.11r Fast Transition of Adaptive Fast Transition (De adaptive r feature in samenwerking met Apple) aan staat. Wat er moet gebeuren in de infrastructuur is afhankelijk van het gebruik van die features, en het model AP.

  • Voor APs vóór de x800 series AC Wave 2 APs:
    • 11r / Adaptive FT niet aan / niet gewenst: Geen software update nodig
    • 11r / Adaptive FT aan, maar niet gewenst: Zet deze feature uit
    • 11r / Adaptive FT nodig: Update software naar 8.3.130.0
  • Voor x800 seriesAC Wave 2 APs:
    • 11r / Adaptive FT niet aan / niet gewenst: Geen software update nodig
    • 11r / Adaptive FT aan, maar niet gewenst: Zet deze feature uit
    • 11r / Adaptive FT nodig: Open TAC case, er wordt gewerkt aan een interim release
  • Voor Meraki APs:
    • 11r / Adaptive FT niet aan / niet gewenst: Geen software update nodig
    • 11r / Adaptive FT nodig: Update naar 24.11 of 25.7 via dashboard.

Aanvallen op clients kunnen voor een groot deel gezien worden door de infrastructuur, omdat er een AP nagedaan moet worden met hetzelfde SSID en MAC adres, op een ander kanaal. Dit is makkelijk uit te voeren, maar wordt meteen gezien door de rogue detectie van de infrastructuur. Raadpleeg voor het configureren van Rogue detectie het  Rogue Management and Detection best practice document.

Waar vind ik meer informatie?

Cisco PSIRT Advisory

Cisco Blog

Cisco Meraki Blog

Cisco Meraki FAQ

KRACK website

Onderzoek document

WiFi Alliance verklaring

ICASI Verklaring (met links naar patches van sommige clients)

Nationaal Cyber Security Centrum

Ik heb meer hulp nodig, wat kan ik doen?

Neem contact op met uw Cisco partner en/of uw Cisco Account Team.

Maurijn van Tol – Mobility CSE Cisco Nederland
17 Oktober 2017

 

Laat een reactie achter