WPA zranitelnost (KRACK) bezpečnostní oznámení
Popis
TP-Link si je vědom zranitelností v protokolu zabezpečení WPA2, které mohou ovlivnit některé TP-Link produkty. Útočník může v dosahu pokrytí Wi-Fi sítě zneužít těchto zranitelností pomocí útoků na principu reinstalace klíčů (KRACKs). Podle výzkumu KRACKs od Mathy Vanhoefa, který upozornil dodavatele na tuto zranitelnost, je útok zacílen na WPA2 handshake a nezneužívá Access Pointů, ale zaměřuje se na klienty. Všechny zranitelnosti mohou být opraveny aktualizacemi software, protože problémy souvisejí s nedostatky v implementaci.
TP-Link pracuje na řešení tohoto problému a bude pokračovat se zveřejňováním aktualizací software na: www.tp-link.com/support.html. Produkty s TP-Link Cloud budou dostávat upozornění na aktualizace automaticky prostřednictvím rozhraní webové správy, aplikace Tether nebo aplikace Deco.
Více informací o KRACK můžete najít pomocí odkazu: https://www.krackattacks.com.
Upozorňujeme, že dvě následující podmínky musí být splněny, aby bylo možné zneužít zranitelnosti KRACK:
- Fyzická blízkost: K útoku může dojít pouze tehdy, je-li útočník v přímém dosahu vaší bezdrátové sítě.
- Časové okno: K útoku může dojít pouze v okamžiku, kdy se klientské zařízení připojuje nebo přepojuje k Wi-Fi síti.
TP-Link produkty, které nejsou zranitelností ovlivněny:
Všechny Powerline adaptéry
Všechny mobilní Wi-Fi produkty
Routery a brány pracující v jejich výchozím režimu (režim Router) a režimu AP
Wi-Fi opakovače (Extendery) pracující v AP režimu
Business řady Wi-Fi EAP Access Pointů pracující v režimu AP
TP-Link produkty, které jsou zranitelností ovlivněny:
Routery pracující v režimu Repeater/WISP/Klient:
TL-WR940N s verzí Firmware 3.17.1 Build 170717 Rel.55495n nebo dřívější (Hardwarová verze 3.0 nebo dřívější nejsou ovlivněny)
TL-WR841Nv13 s verzí Firmware 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n nebo dřívější (Hardwarová verze 12.0 nebo dřívější nejsou ovlivněny)
TL-WR840N s verzí Firmware 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n nebo dřívější (Hardwarová verze 2.0 nebo dřívější nejsou ovlivněny)
TL-WR941HP s verzí Firmware 3.16.9 Build 20170116 Rel.50912n nebo dřívější
TL-WR841HP s verzí Firmware 3.16.9 Build 160612 Rel.67073n nebo dřívější
TL-WR902AC s verzí Firmware 3.16.9 Build 20160905 Rel.61455n nebo dřívější
TL-WR802N s verzí Firmware 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n nebo dřívější
TL-WR810N s verzí Firmware 3.16.9 Build 160801 Rel.57365n nebo dřívější
Routery s povolenou funkcí WDS (ve výchozím nastavení není povolena) mohou být ovlivněny. Jestliže chcete zkontrolovat, jestli je WDS na vašem routeru povoleno, podívejte se do FAQ.
Wi-Fi opakovače (Extendery) pracující v režimu Repeater během WPA2 handshake, který je iniciován pouze při připojování nebo přepojování k routeru:
TL-WA850RE s verzí Firmware 1.0.0 Build 20170609 Rel.34153 nebo dřívější
TL-WA855RE s verzí Firmware 1.0.0 Build 20170609 Rel.36187 nebo dřívější
TL-WA860RE s verzí Firmware 1.0.0 Build 20170609 Rel.38491 nebo dřívější
RE200 s verzí Firmware 1.1.3 Build 20170818 Rel.58183 nebo dřívější
RE210 s verzí Firmware 3.14.2 Build 160623 Rel.43391n nebo dřívější
RE305 s verzí Firmware 1.0.0 Build 20170614 Rel.42952 nebo dřívější
RE450 s verzí Firmware 1.0.2 Build 20170626 Rel.60833 nebo dřívější
RE500 s verzí Firmware 1.0.1 Build20170210 Rel.59671 nebo dřívější
RE650 s verzí Firmware 1.0.2 Build 20170524 Rel.58598 nebo dřívější
Bezdrátové adaptéry:
Archer T6E
Archer T9E
Wi-Fi Systém pro celý dům:
Deco M5 s verzí Firmware 1.1.5 Build 20170820 Rel.62483 nebo dřívější
Business VPN Router/CPE/WBS/CAP:
CAP300 s verzí Firmware 1.1.0 Build 20170601 Rel.60253 nebo dřívější
CAP300-Outdoor s verzí Firmware 1.1.0 Build 20170601 Rel.60212 nebo dřívější
CAP1750 s verzí Firmware 1.1.0 Build 20170601 Rel.60196 nebo dřívější
CAP1200 s verzí Firmware 1.0.0 Build 20170801 Rel.61314 nebo dřívější
TL-ER604W s verzí Firmware 1.2.0 Build 20160825 Rel.45880 nebo dřívější
CPE520 s verzí Firmware 2.1.6 Build 20170908 Rel.45234 nebo dřívější
CPE610 s verzí Firmware 2.1.5 Build 20170830 Rel. 58245 nebo dřívější
CPE510 s verzí Firmware 2.1.6 Build 20170908 Rel. 45233 nebo dřívější
CPE220 s verzí Firmware 2.1.6 Build 20170908 Rel. 45233 nebo dřívější
CPE210 s verzí Firmware 2.1.6 Build 20170908 Rel. 45234 nebo dřívější
WBS210 s verzí Firmware 2.1.0 Build 20170609 Rel. 57434 nebo dřívější
WBS510 s verzí Firmware 2.1.6 Build 20170908 Rel. 45234 nebo dřívější
Zařízení pro Chytrou domácnost:
Chytré zásuvky a vypínače: HS100, HS105, HS110, HS200
Chytré žárovky: LB100, LB110, LB120, LB130, LB200, LB230
Chytré opakovače se zásuvkou: RE350K, RE270K, RE370K
Kamery: NC250, NC260, NC450, KC120
Jak chránit svá zařízení
Dokud není dostupná aktualizace softwaru pro odstranění zranitelnosti vašeho produktu, je doporučeno provést následující opatření:
Pro bezdrátové routery: ujistěte se, že jsou vaše routery v režimu Router nebo AP a aktualizujte vydané záplaty k operačním systémům vašich chytrých telefonů, tabletů a počítačů.
Pro bezdrátové adaptéry: aktualizujte vydané záplaty operačních systémů vašich počítačů.
Aktualizace zabezpečení Microsoftu: Microsoft vydal opravy pro bezpečnostní problémy, jak je uvedeno v https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
FAQ - Jak zkontrolovat, jestli je funkce WDS použita na routerech TP-Link?
TP-Link pracuje na modelech zasažených tímto problémem a v následujících několika týdnech uvede firmware na svých oficiálních webových stránkách.
Přidružené CVE identifikátory
Následující identifikátory Common Vulnerabilities and Exposures - CVE byly přiděleny pro dohledání produktů zasažených specifickými variantami útoků na principu reinstalace klíčů:
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
Vyloučení odpovědnosti
Zranitelnost WPA2 zůstává v případě, že neprovedete doporučená opatření. TP-Link nenese odpovědnost za důsledky, které mohly být vyloučeny následováním doporučeních v tomto oznámení.
Is this faq useful?
Your feedback helps improve this site.