Sicher haben Sie den Meldungen in der Fachpresse bereits entnommen, dass eine kritische Sicherheitslücke im WPA2 Protokoll veröffentlicht wurde. Diese Sicherheitslücke wurde „KRACK“ getauft (Key Reinstallation AttaCK).
Durch Manipulation des Session-Keys in einem Handshake, der beim Aufbau einer WiFi Verbindung etabliert wird, kann man Teile vom Datenverkehr entschlüsseln oder manipulieren.
Um eine sichere Kommunikation zwischen Client und Access Point zu gewährleisten wird der Session-Key bei einem Handshake normalerweise einmalig erstellt und benutzt.
Die meisten Hersteller haben schnell mit einer neuen Firmware reagiert, welche diesen Fehler abstellt oder stellen einen Workaround zur Verfügung. Nähere Informationen hierzu habe ich weiter unten für Sie zusammengestellt.
Statement des BSI
Das BSI erachtet die Schwachstelle in einer Pressemitteilung als kritisch. Es wird empfohlen keine sensiblen Transaktionen wie z.B. Banking oder Einkäufe über eine WLAN Verbindung zu tätigen bis der Fehler behoben ist. Darüber hinaus wird geraten so bald wie möglich ein Update einzuspielen.
Tiefergehende technische Informationen zu dieser Schwachstelle finden Sie auf einer von den Sicherheitsforschern eigens hierfür eingerichteten Webseite.
Reaktionen der Hersteller auf KRACK
Eine Übersicht über die Reaktionen und Empfehlungen vieler Hersteller gibt Heise in einer regelmäßig aktualisierten Meldung. Für einige ausgewählte Hersteller möchte ich den aktuellen Stand gerne kurz darstellen:
Aruba:
Aruba hat den Fehler bereits mit einem Patch behoben. Folgende Versionen weisen die Schwachstelle nicht mehr auf:
ArubaOS: 6.3.1.25, 6.4.4.16, 6.5.1.9, 6.5.3.3, 6.5.4.2, 8.1.0.4
Instant OS: 4.2.4.9, 4.3.1.6, 6.5.3.3, 6.5.4.2
Clarity Engine: 1.0.0.1
Statement: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt
Juniper:
Einen Fix gibt es bisher nur für die WLC/WLA Geräte. Für diese sind die folgenden Versionen und alle neueren frei von dem beschriebenen Fehler:
MSS 9.2.1, MSS 9.6.5
Für alle anderen betroffenen Geräte besteht nur die Möglichkeit das WLAN zu deaktivieren.
Statement: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10827
Cisco:
Für die meisten anfälligen Produkte hat Cisco bereits eine neue Softwareversion veröffentlicht. Aufgrund der Vielzahl der Geräte und der unterschiedlichen Software verbleibt uns hier nur der Hinweis und den unten stehenden Herstellerartikel.
Für alle Meraki Produkte gilt allerdings das folgende:
MR20.x, MR21.x, MR22.x, MR23.x: Betroffen, aber kein Fix geplant.
MR24: Betroffen, Fix ab Version MR24.11
MR25: Betroffen, Fix ab Version MR25.7
Statement: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
Gerne bieten wir Ihnen unsere Unterstützung bei Fragen und der Implementierung an. Kontaktieren Sie uns.