Your browser either does not support JavaScript or you have turned JavaScript off.

Рекомендация Zyxel по обеспечению безопасности в связи с обнаружением уязвимостей механизма управления ключами протокола WPA2

Zyxel знает о недавно обнаруженных уязвимостях механизма управления ключами протокола безопасности WiFi Protected Access II (WPA2), которые описаны в бюллетене US-CERT vulnerability note VU#228519 с идентификаторами уязвимости vulnerability ID, перечисленными в Таблице 1.


Какие продукты затрагивают эти уязвимости?

Эти уязвимости затрагивают беспроводные продукты, которые различными способами подключены к сети WiFi, в зависимости от того, работают как клиент или сервер WiFi, как описано в следующей Таблице 1.


Таблица 1

Тип атаки   
Идентификаторы CVE ID
Устройства, затронутые уязвимостью
4-way handshake CVE-2017-13077 Клиенты WiFi
Group-key handshake CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13087
CVE-2017-13088
Клиенты WiFi
802.11r Fast-BSS Transition (FT) CVE-2017-13082 Точки доступа
Peer-key handshake CVE-2017-13084
CVE-2017-13086
Клиенты WiFi

Важно отметить, что устройство, с которого злоумышленник производит атаку с использованием этих уязвимостей, должно физически быть рядом с беспроводной сетью и находиться в ее зоне покрытия.

Подробная техническая информация размещена по адресу: https://www.krackattacks.com/#details


Как Zyxel устраняет эту уязвимость?

Компания Zyxel всегда особое внимание обращает на проблемы безопасности, поэтому мы провели тщательное исследование и выявили продукты, которые затрагивают эти уязвимости (они перечислены ниже в Таблице 2). Если какой-то продукт не включен в Таблицу 1, то это означает, что для него эта уязвимости не представляют опасности, поскольку он не может работать как клиент WiFi, либо он не поддерживает 802.11r Fast BSS Transition handshake, либо по не поддерживает по умолчанию peer-key handshake.

Сейчас мы совместно с производителями чипсетов WiFi разрабатываем решение этой проблемы. Соответствующая заплатка прошивки выйдет в течение следующих недель или даже раньше, поскольку производители чипсетов WiFi выпустят свои заплатки намного раньше.

Расписание выпуска обновлений приведено в Таблице 2. Обновлене прошивки обеспечение hotfix/для стандартного решения проблемы будет выложено на странице Zyxel Support Center.


Таблица 2

Модели, затронутые уязвимостями Серия/модель Доступность Hotfix
Доступность стандартного решения
Клиенты WiFi
NWA1100-NH 31 декабря 2017
Февраль 2018
WAP6405 N/A 1 ноября 2017
WAP6804 N/A 6 ноября 2017
WAP6806 16 ноября 2017 Февраль 2018
WRE2206 17 ноября 2017 Февраль 2018
WRE6505 v2 16 ноября 2017 Январь 2018
WRE6606 30 ноября 2017 Март 2018
Cam3115 N/A Февраль 2018
NBG-418n v2 17 ноября 2017
Декабрь 2017
NBG6515 17 ноября 2017 Январь 2018
WAP3205 v3 N/A Декабрь 2017
WRE6505 v1 30 ноября 2017 N/A
WRE2205 v2 15 декабря 2017 N/A
Точки доступа NWA5301-NJ 16 ноября 2017 *
Февраль 2018
NWA5123-AC 16 ноября 2017 *
Февраль 2018
WAC6103D-I 16 ноября 2017 *
Февраль 2018
WAC6500 series 16 ноября 2017 *
Февраль 2018

* Вышеуказанные точки доступа (NWA5301-NJ, NWA5123-AC, WAC6103D-I, WAC6500 series) подвержены уязвимости только когда они управляются контроллерами NXC2500/5500 с включенным режимом 802.11r. Когда указанные точки доступа работают отдельно они не подвержены уязвимости, так как сами по себе не поддерживают стандарт 802.11r. Соответственно в этом случае для них не требуется никаких патчей и исправлений. Существующие хот-фиксы сделаны только для NXC2500/NXC5500.
Скачайте необходимые патчи по ссылкам ниже:
Загрузить хотфикс для NXC2500
Загрузить хотфикс для NXC5500

Как защитить мои устройства от этих уязвимостей?

Как уже говорилось выше, для атаки с использованием этой уязвимости устройство, используемое для атаки должно находиться рядом с беспроводной сети и в зоне ее покрытия. Поскольку наши точки доступа бизнес-класса поддерживают 802.11r Fast BSS Transition (FT) handshake, то устройства, поддерживающие эту функцию, перечислены в списке затронутых уязвимостью продуктов (Таблица 2). По умолчанию 802.11r отключен в продуктах и контроллерах Zyxel, поэтому на большинство заказчиков Zyxel эта уязвимость не повлияет.

Заказчикам, использующим 802.11r и поэтому опасающимся за безопасность своей сети, рекомендуется отключить функцию 802.11r в качестве меры предосторожности. После выпуска Hotfix заказчикам, которые хотят использовать функцию 802.11r, рекомендуется установить это обновление как можно быстрее, и тогда эта уязвимость не будет создавать риск для безопасности их сети.

Подробную информацию и подробное техническое описание уязвимостей можно найти по ссылкам:

  1. US-CERT VU note: https://www.kb.cert.org/vuls/id/228519/
  2. Disclosure by Mathy Vanhoef of imec-DistriNet of KU Leuven: https://www.krackattacks.com/

Если вам нужна дополнительная помощь, то обратитесь к местному представителю службу поддержки. Если вы обнаружили какую-то уязвимость, то напишите нам по адресу security@zyxel.com.tw.

Zyxel будет обновлять эту рекомендацию по мере поступления дополнительной информации.