Внимание! Уязвимость KRACK в протоколе WPA2

• При атаке на 4-стороннее рукопожатие может быть расшифрован трафик, отправляемый клиентом на точку доступа. А в случае использования TKIP (вместо AES), помимо расшифровки трафика злоумышленник способен подделывать пакеты данных.
• При атаке на рукопожатие протокола Fast BSS Transition (802.11r) возможна дешифрация трафика, отправляемого точкой доступа к клиенту.
• Также проблеме подвержены рукопожатие TDLS и ответ на переход в спящий режим WNM.

Проблема актуальна, когда злоумышленник находится в радиусе действия целевой сети, а клиент расположен не слишком близко к точке доступа. Для полной защиты от уязвимости требуется апгрейд программного обеспечения на точке доступа и на клиенте. Однако большинству из этих атак подвержены именно клиентские устройства: смартфоны, планшеты, ноутбуки, USB Wi-Fi адаптеры и т.п. В связи с этим обязательно займитесь вопросом обновления их ПО.

Компании Ubiquiti и MikroTik одними из первых обновили прошивки для исправления ситуации.

Так, Ubiquiti с целью защиты пользователей своих точек доступа UniFi выпустила микропрограмму версии 3.9.3.7537. Она устраняет уязвимость на всех затронутых моделях и доступна для загрузки. Инструкции по обновлению прошивки точек доступа можно найти здесь, а полный список изменений прошивки этой версии — здесь.

В данный момент бета-функция 802.11r ("Fast Roaming" в интерфейсе контроллера) всё ещё уязвима, поэтому рекомендуем временно выключить её. Ubiquiti активно работает над исправлением этой части, и в ближайшее время она также будет обновлена.

Для линейки airMAX при использовании проприетарного протокола airMAX проблема малоактуальна. Тем не менее, производитель дополнительно улучшил прошивки: используйте версии 8.4.2 для AC-моделей и 6.1.2 для M-моделей.

Устройства AmpliFi защищены начиная с версии 2.4.3. Прошивка 2.4.2 была частично затронута. Предыдущие версии тоже уязвимы.

Оборудование MikroTik на базе RouterOS версий 6.39.3, 6.40.4, 6.41rc не затронуто. Эта ОС изначально подверглась лишь части атак, но MikroTik улучшила процесс обмена ключами в соответствии с рекомендациями организаций, которые обнаружили уязвимость. На прошлой неделе вышли обновлённые прошивки, так что при регулярном апгрейде ПО дополнительных действий не требуется.

Всегда обновляйте ОС до последней версии, хотя в зависимости от беспроводного протокола и режима предлагается выполнить следующее:

• nv2: обновление не требуется;
• точка доступа 802.11 / nstreme без поддержки WDS: обновление не требуется;
• CAPsMAN: обновление не требуется;
• клиентское устройство 802.11 / nstreme (все режимы клиента) или точка доступа с поддержкой WDS: срочное обновление до исправленной версии.

Сделать ваш Wi-Fi неуязвимым помогут следующие действия: