Verklaring over de WPA2-kwetsbaarheid (KRACKs)
TP-Link is op de hoogte van de kwetsbaarheden in het beveiligingsprotocol WPA2 dat ook van invloed is op sommige producten van TP-Link. Een aanvaller die zich binnen het bereik van een draadloos wifi-netwerk bevindt, kan misbruik maken van deze kwetsbaarheden door middel van key reinstallation attacks (KRACKs). Volgens het onderzoeksrapport over KRACK van Mathy Vanhoef, die deze kwetsbaarheid onder de aandacht heeft gebracht, is de aanval gericht op de WPA2 handshake en op clients, maar niet op accesspoints. Alle kwetsbaarheden kunnen worden opgelost door middel van software-updates omdat de problemen veroorzaakt worden door fouten tijdens de implementatie.
TP-Link werkt aan een oplossing voor dit probleem en zal software-updates plaatsen op: www.tp-link.com/support.html. In het geval van producten waarbij de TP-Link Cloud is ingeschakeld zullen er automatisch meldingen over updates verschijnen in de webmanagement interface, de Tether app of Deco app.
Meer informatie over KRACK vindt u op: https://www.krackattacks.com.
Houd er rekening mee dat er aan de volgende twee voorwaarden moet worden voldaan om misbruik te maken van de kwetsbaarheid voor KRACK:
- Fysieke nabijheid: een aanval is alleen mogelijk wanneer de aanvaller zich fysiek binnen het draadloze bereik van uw netwerk bevindt.
- Tijdsinterval: een aanval is alleen mogelijk wanneer een client (opnieuw) verbinding maakt met een wifi-netwerk.
Producten van TP-Link waarop dit geen invloed heeft:
Alle powerline adapters
Alle mobiele wifi-producten
Routers en gateways die gebruik maken van de standaardmodus (Router-modus) en AP-modus
Range extenders die gebruik maken van de AP-modus
Accesspoints van de zakelijke EAP-serie die gebruik maken van de AP-modus
Producten van TP-Link waarop dit wel invloed heeft:
Routers die gebruik maken van de Repeater-modus/WISP-modus/Client-modus:
TL-WR940N met firmwareversie 3.17.1 Build 170717 Rel.55495n of eerder (op hardwareversie 3.0 of eerder heeft dit geen invloed)
TL-WR841Nv13 met firmwareversie 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n of eerder (op hardwareversie 12.0 of eerder heeft dit geen invloed)
TL-WR840N met firmwareversie 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n of eerder (op hardwareversie 2.0 of eerder heeft dit geen invloed)
TL-WR941HP met firmwareversie 3.16.9 Build 20170116 Rel.50912n of eerder
TL-WR841HP met firmwareversie 3.16.9 Build 160612 Rel.67073n of eerder
TL-WR902AC met firmwareversie 3.16.9 Build 20160905 Rel.61455n of eerder
TL-WR802N met firmwareversie 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n of eerder
TL-WR810N met firmwareversie 3.16.9 Build 160801 Rel.57365n of eerder
Routers waarbij de WDS-functie is ingeschakeld (standaard uitgeschakeld) kunnen getroffen worden. Raadpleeg de FAQ om te controleren of de WDS-functie van uw router is ingeschakeld.
Range Extenders die gebruik maken van de Repeater-modus tijdens een WPA2 handshake die alleen tot stand komt als er (opnieuw) verbinding wordt gemaakt met een router:
TL-WA850RE met firmwareversie 1.0.0 Build 20170609 Rel.34153 of eerder
TL-WA855RE met firmwareversie 1.0.0 Build 20170609 Rel.36187 of eerder
TL-WA860RE met firmwareversie 1.0.0 Build 20170609 Rel.38491 of eerder
RE200 met firmwareversie 1.1.3 Build 20170818 Rel.58183 of eerder
RE210 met firmwareversie 3.14.2 Build 160623 Rel.43391n of eerder
RE305 met firmwareversie 1.0.0 Build 20170614 Rel.42952 of eerder
RE450 met firmwareversie 1.0.2 Build 20170626 Rel.60833 of eerder
RE500 met firmwareversie 1.0.1 Build 20170626 Rel.59671 of eerder
RE650 met firmwareversie 1.0.2 Build 20170524 Rel.58598 of eerder
Draadloze adapters:
Archer T6E
Archer T9E
Volledige Home wifi-systeem:
Deco M5 met firmwareversie 1.1.5 Build 20170820 Rel.62483 of eerder
Zakelijke VPN-routers/CPE/WBS/CAP:
CAP300 met firmwareversie 1.1.0 Build 20170601 Rel.60253 of eerder
CAP300-Outdoor met firmwareversie 1.1.0 Build 20170601 Rel.60212 of eerder
CAP1750 met firmwareversie 1.1.0 Build 20170601 Rel.60196 of eerder
CAP1200 met firmwareversie 1.0.0 Build 20170801 Rel.61314 of eerder
TL-ER604W met firmwareversie 1.2.0 Build 20160825 Rel.45880 of eerder
CPE520 met firmwareversie 2.1.6 Build 20170908 Rel.45234 of eerder
CPE610 met firmwareversie 2.1.5 Build 20170830 Rel. 58245 of eerder
CPE510 met firmwareversie 2.1.6 Build 20170908 Rel. 45233 of eerder
CPE220 met firmwareversie 2.1.6 Build 20170908 Rel. 45233 of eerder
CPE210 met firmwareversie 2.1.6 Build 20170908 Rel. 45234 of eerder
WBS210 met firmwareversie 2.1.0 Build 20170609 Rel. 57434 of eerder
WBS510 met firmwareversie 2.1.6 Build 20170908 Rel. 45234 of eerder
Smart home-apparaten:
Smart Plugs en Switch: HS100, HS105, HS110, HS200
Smart-lampen: LB100, LB110, LB120, LB130, LB200, LB230
Smart Repeater met Plugs: RE350K, RE270K, RE370K
Camera's: NC250, NC260, NC450, KC120
Hoe kunt u uw apparaten beschermen
Totdat er een software-update beschikbaar is waarmee de kwetsbaarheid van uw product wordt verholpen, raden we aan om de volgende voorzorgsmaatregelen te treffen:
Voor draadloze routers: zorg ervoor dat uw routers in de Router-modus of AP-modus staan en patch het besturingssysteem van uw smartphones, tablets en computers.
Voor draadloze adapters: patch het besturingssysteem van uw computers.
Microsoft beveiligingsupdate: Microsoft heeft dergelijke beveiligingsproblemen opgelost, zie: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
FAQ op how to check if WDS function is used on TP-Link routers?
TP-Link werkt aan een oplossing voor de getroffen modellen en plaatst de komende weken firmware op de officiële website.
Bijbehorende CVE identifiers
De volgende Common Vulnerabilities and Exposures (CVE) identifiers zijn toegewezen om na te gaan welke producten zijn getroffen door key reinstallation attacks:
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
Disclaimer
De kwetsbaarheden van WPA2 blijven bestaan als u de aanbevolen maatregelen niet neemt. TP-Link is niet aansprakelijk voor de gevolgen die vermeden hadden kunnen als u de aanbevelingen had opgevolgd die in deze verklaring staan vermeld.
Is this faq useful?
Your feedback helps improve this site.