Luki w protokole zabezpieczeń WPA2 (KRACK)
Opis problemu
TP-Link ma świadomość istnienia luk w protokole zabezpieczeń WPA2, które mają negatywny wpływ na niektóre produkty sieciowe TP-Link. Osoba znajdująca się w zasięgu danej sieci Wi-fi może dokonać ataku na tą sieć poprzez reinstalację już istniejącego klucza (atak KRACK). Według Mathy'ego Vanhoefa, autora pracy naukowej na temat ataków KRACK, który odkrył i ujawnił ten problem, atak polega na manipulacji procesu negocjacji podłączenia klienta do sieci WPA2 (4-way handshake), zatem głównym celem ataku nie jest punkt dostępowy, ale klient. Wszelkie luki mogą być załatane na poziomie aktualizacji oprogramowania, gdyż problemy te związane są z błędami implentacji protokołu WPA2.
Firma TP-Link pracuje nad rozwiązaniem tego problemu i będzie na bieżąco publikować aktualizacje oprogramowania na stronie: www.tp-link.com.pl/support.html. Urządzenia z włączoną funkcją TP-Link Cloud będą automatycznie otrzymywać powiadomienia o dostępnych aktualizacjach na stronie zarządzania siecią oraz poprzez aplikacje Tether i Deco.
Więcej informacji na temat KRACK można znaleźć pod adresem: https://www.krackattacks.com.
Warunki, które wpływają na podatność urządzeń na ataki:
- Fizyczna bliskość: do ataku może dojść tylko w sytuacji, gdy osoba dokonująca ataku znajduje się wystarczająco blisko urządzenia sieciowego, a zatem w zasięgu danej sieci bezprzewodowej.
- Okno czasowe: atak możliwy jest tylko w sytuacji, gdy klient nawiązuje nowe lub ponowne połączenie z siecią Wi-fi.
Produkty TP-Link, których problem ten nie dotyczy:
Wszystkie transmitery sieciowe
Wszystkie bezprzewodowe urządzenia przenośne
Routery i bramy sieciowe pracujące w trybie domyślnym (tryb Router) i w trybie AP
Wzmacniacze sygnału pracujące w trybie AP
Biznesowe bezprzewodowe punkty dostępowe EAP pracujące w trybie AP
Zagrożone produkty TP-Link:
Routery pracujące w trybie Repeater/WISP/Client:
TL-WR940N z firmwarem w wersji 3.17.1 Build 170717 Rel.55495n lub wcześniejszej (nie dotyczy wersji sprzętowej 3.0 lub wcześniejszej)
TL-WR841Nv13 z firmwarem w wersji 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n lub wcześniejszej (nie dotyczy wersji sprzętowej 12.0 lub wcześniejszej)
TL-WR840N z firmwarem w wersji 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n lub wcześniejszej (nie dotyczy wersji sprzętowej 2.0 lub wcześniejszej)
TL-WR902AC z firmwarem w wersji 3.16.9 Build 20160905 Rel.61455n lub wcześniejszej
TL-WR802N z firmwarem w wersji 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n lub wcześniejszej
TL-WR810N z firmwarem w wersji 3.16.9 Build 160801 Rel.57365n lub wcześniejszej
Routery z włączoną funkcją WDS (domyślnie wyłączoną) także mogą być zagrożone. Zapoznaj się z instrukcją FAQ, aby dowiedzieć się w jaki sposób sprawdzić, czy router ma włączoną funkcję WDS.
Wzmacniacze sygnału pracujące w trybie Repeater podczas wymiany informacji WPA2 handshake, inicjowane tylko podczas pierwszego lub kolejnego łączenia się z routerem:
TL-WA850RE z firmwarem w wersji 1.0.0 Build 20170609 Rel.34153 lub wcześniejszej
TL-WA855RE z firmwarem w wersji 1.0.0 Build 20170609 Rel.36187 lub wcześniejszej
TL-WA860RE z firmwarem w wersji 1.0.0 Build 20170609 Rel.38491 lub wcześniejszej
RE200 z firmwarem w wersji 1.1.3 Build 20170818 Rel.58183 lub wcześniejszej
RE210 z firmwarem w wersji 3.14.2 Build 160623 Rel.43391n lub wcześniejszej
RE305 z firmwarem w wersji 1.0.0 Build 20170614 Rel.42952 lub wcześniejszej
RE450 z firmwarem w wersji 1.0.2 Build 20170626 Rel.60833 lub wcześniejszej
RE500 z firmwarem w wersji 1.0.1 Build20170210 Rel.59671 lub wcześniejszej
RE650 z firmwarem w wersji 1.0.2 Build 20170524 Rel.58598 lub wcześniejszej
Karty sieciowe:
Archer T6E
Archer T9E
Domowe systemy Wi-fi:
Deco M5 z firmwarem w wersji 1.1.5 Build 20170820 Rel.62483 lub wcześniejszej
Biznesowe routery VPN/CPE/WBS/CAP:
CAP300 z firmwarem w wersji 1.1.0 Build 20170601 Rel.60253 lub wcześniejszej
CAP300-Outdoor z firmwarem w wersji 1.1.0 Build 20170601 Rel.60212 lub wcześniejszej
CAP1750 z firmwarem w wersji 1.1.0 Build 20170601 Rel.60196 lub wcześniejszej
CAP1200 z firmwarem w wersji 1.0.0 Build 20170801 Rel.61314 lub wcześniejszej
TL-ER604W z firmwarem w wersji 1.2.0 Build 20160825 Rel.45880 lub wcześniejszej
CPE610 z firmwarem w wersji 2.1.5 Build 20170830 Rel. 58245 lub wcześniejszej
CPE510 z firmwarem w wersji 2.1.6 Build 20170908 Rel. 45233 lub wcześniejszej
CPE210 z firmwarem w wersji 2.1.6 Build 20170908 Rel. 45234 lub wcześniejszej
WBS210 z firmwarem w wersji 2.1.0 Build 20170609 Rel. 57434 lub wcześniejszej
WBS510 z firmwarem w wersji 2.1.6 Build 20170908 Rel. 45234 lub wcześniejszej
Urządzenia Smart:
Urządzenia Smart Plug and Switch: HS100, HS105, HS110
Żarówki Smart: LB100, LB110, LB120, LB130
Wzmacniacze sieci bezprzewodowej ze smart plugiem: RE270K
Kamery: NC250, NC450
Jak chronić urządzenia
Do czasu udostępnienia aktualizacji oprogramowania łatającej luki w zabezpieczeniach dla danego urządzenia, zaleca się zastosować następujące środki ostrożności:
Routery bezprzewodowe: Upewnij się, że router pracuje w trybie Router lub AP i zaktualizuj systemy operacyjne na swoich smartfonach, tabletach i komputerach.
Karty sieciowe: Zaktualizuj systemy operacyjne na swoich komputerach.
Aktualizacja zabezpieczeń Microsoft: firma Microsoft rozwiązała problemy dotyczące bezpieczeństwa: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
FAQ z odpowiedzią na pytanie jak sprawdzić czy funkcja WDS jest aktywna na routerach TP-Link?
TP-Link pracuje nad wyeliminowaniem zagrożenia i w ciągu najbliższych kilku tygodni udostępni aktualizacje firmware'ów na oficjalnej stronie internetowej.
Przydzielone identyfikatory CVE
Poniższe identyfikatory CVE (Common Vulnerabilities and Exposures) przydzielono, aby śledzić, którymi typami ataków zagrożone są określone produkty:
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
Wyłączenie odpowiedzialności
Luki w zabeczpieczeniach WPA2 mogą stanowić zagrożenie dla urządzeń w przypadku, gdy użytkownik nie podejmie wszystkich zalecanych działań zapobiegawczych. Firma TP-Link nie ponosi odpowiedzialności za konsekwencje nie zastosowania się do zaleceń zawartych w niniejszym oświadczeniu.
Czy ten poradnik FAQ był pomocny?
Twoja opinia pozwoli nam udoskonalić tę stronę.
z United States?
Uzyskaj produkty, wydarzenia i usługi przeznaczone dla Twojego regionu.