Zyxel знает о недавно обнаруженных уязвимостях механизма управления ключами протокола безопасности WiFi Protected Access II (WPA2), которые описаны в бюллетене US-CERT vulnerability note VU#228519 с идентификаторами уязвимости vulnerability ID, перечисленными в Таблице 1.
Какие продукты затрагивают эти уязвимости?
Эти уязвимости затрагивают беспроводные продукты, которые различными способами подключены к сети WiFi, в зависимости от того, работают как клиент или сервер WiFi, как описано в следующей Таблице 1.
Таблица 1
Тип атаки | Идентификаторы CVE ID | Устройства, затронутые уязвимостью |
---|---|---|
4-way handshake | CVE-2017-13077 | Клиенты WiFi |
Group-key handshake | CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081 CVE-2017-13087 CVE-2017-13088 |
Клиенты WiFi |
802.11r Fast-BSS Transition (FT) | CVE-2017-13082 | Точки доступа |
Peer-key handshake | CVE-2017-13084 CVE-2017-13086 |
Клиенты WiFi |
Важно отметить, что устройство, с которого злоумышленник производит атаку с использованием этих уязвимостей, должно физически быть рядом с беспроводной сетью и находиться в ее зоне покрытия.
Подробная техническая информация размещена по адресу: https://www.krackattacks.com/#details
Как Zyxel устраняет эту уязвимость?
Компания Zyxel всегда особое внимание обращает на проблемы безопасности, поэтому мы провели тщательное исследование и выявили продукты, которые затрагивают эти уязвимости (они перечислены ниже в Таблице 2). Если какой-то продукт не включен в Таблицу 1, то это означает, что для него эта уязвимости не представляют опасности, поскольку он не может работать как клиент WiFi, либо он не поддерживает 802.11r Fast BSS Transition handshake, либо по не поддерживает по умолчанию peer-key handshake.
Сейчас мы совместно с производителями чипсетов WiFi разрабатываем решение этой проблемы. Соответствующая заплатка прошивки выйдет в течение следующих недель или даже раньше, поскольку производители чипсетов WiFi выпустят свои заплатки намного раньше.
Расписание выпуска обновлений приведено в Таблице 2. Обновлене прошивки обеспечение hotfix/для стандартного решения проблемы будет выложено на странице Zyxel Support Center.
Таблица 2
Модели, затронутые уязвимостями | Серия/модель | Доступность Hotfix | Доступность стандартного решения |
---|---|---|---|
Клиенты WiFi |
NWA1100-NH | 31 декабря 2017 |
Февраль 2018 |
WAP6405 | N/A | 1 ноября 2017 |
|
WAP6804 | N/A | 6 ноября 2017 |
|
WAP6806 | 16 ноября 2017 | Февраль 2018 |
|
WRE2206 | 17 ноября 2017 | Февраль 2018 |
|
WRE6505 v2 | 16 ноября 2017 | Январь 2018 |
|
WRE6606 | 30 ноября 2017 | Март 2018 |
|
Cam3115 | N/A | Февраль 2018 |
|
NBG-418n v2 | 17 ноября 2017 |
Декабрь 2017 | |
NBG6515 | 17 ноября 2017 | Январь 2018 | |
WAP3205 v3 | N/A | Декабрь 2017 | |
WRE6505 v1 | 30 ноября 2017 | N/A | |
WRE2205 v2 | 15 декабря 2017 | N/A | |
Точки доступа | NWA5301-NJ | 16 ноября 2017 * |
Февраль 2018 |
NWA5123-AC | 16 ноября 2017 * |
Февраль 2018 |
|
WAC6103D-I | 16 ноября 2017 * |
Февраль 2018 |
|
WAC6500 series | 16 ноября 2017 * |
Февраль 2018 |
Как защитить мои устройства от этих уязвимостей?
Как уже говорилось выше, для атаки с использованием этой уязвимости устройство, используемое для атаки должно находиться рядом с беспроводной сети и в зоне ее покрытия. Поскольку наши точки доступа бизнес-класса поддерживают 802.11r Fast BSS Transition (FT) handshake, то устройства, поддерживающие эту функцию, перечислены в списке затронутых уязвимостью продуктов (Таблица 2). По умолчанию 802.11r отключен в продуктах и контроллерах Zyxel, поэтому на большинство заказчиков Zyxel эта уязвимость не повлияет.
Заказчикам, использующим 802.11r и поэтому опасающимся за безопасность своей сети, рекомендуется отключить функцию 802.11r в качестве меры предосторожности. После выпуска Hotfix заказчикам, которые хотят использовать функцию 802.11r, рекомендуется установить это обновление как можно быстрее, и тогда эта уязвимость не будет создавать риск для безопасности их сети.
Подробную информацию и подробное техническое описание уязвимостей можно найти по ссылкам:
Если вам нужна дополнительная помощь, то обратитесь к местному представителю службу поддержки. Если вы обнаружили какую-то уязвимость, то напишите нам по адресу security@zyxel.com.tw.
Zyxel будет обновлять эту рекомендацию по мере поступления дополнительной информации.