16 oktober, 2017

Krypteringsprotokollet WPA2 som skyddar ditt wifi har knäckts (KRACK)

Forskare vid belgiska KU Leuven har lyckats knäcka krypteringsprotokollet WPA2 som används vid majoriteten av alla trådlösa anslutningar. Säkerhetsbristen öppnar upp för tjuvlyssning och manipulation av all internettrafik som går via accesspunkten.

WPA2 är ett säkerhetsprotokoll som har tagits fram av Wi-Fi Alliance för att säkra upp trådlösa nätverk. WPA2 togs fram till följd av att forskare hittade sårbarheter i tidigare protokoll.

Nu har forskarna Mathy Vanhoef och Frank Piessens vid Belgiska KU Leuven i en rapport visat att det finns allvarliga sårbarheter i WPA2, och då i själva wifi-standarden och inte i några specifika produkter eller implementationer som kör det.

Det innebär följande: ifall din enhet har stöd för wifi så är den förmodligen också sårbar till följd av de nya bristerna.

KRACK möjliggör stöld eller manipulation av data

Attacken har fått namnet KRACK eftersom en angripare kan utnyttja sårbarheterna genom en Key Reinstallation AttaCK. Attacken möjliggör att en angripare kan använda en tämligen enkel teknik för att läsa information som tidigare bedömts vara säkert krypterad.

Det gör det möjligt för en angripare att ta del av känslig information (ex. stjäla kreditkortsuppgifter eller inloggningsuppgifter) eller manipulera data (ex. genom att injicera skadlig kod till webbsidor).

Säkerhetsbristerna finns i själva handskakningen som sker mellan en användare och routern när användaren ansluter till nätverket för att skapa en gemensam krypteringsnyckel. Lite beroende på vilken handskakning som används varierar också konsekvenserna.

Forskarna skriver att deras typ av attack är särskilt förödande för Android- och Linux-enheter, men de försäkrar att i princip alla wifi-enheter är sårbara i någon omfattning.

Patchar saknas i stor utsträckning

Den amerikanska cybersäkerhetsmyndigheten US-Cert har enligt Ars Technica skickat ut följande information till ett hundratal företag och organisationer:

“US-CERT has become aware of several key management vulnerabilities in the 4-way handshake of the Wi-Fi Protected Access II (WPA2) security protocol. The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected. The CERT/CC and the reporting researcher KU Leuven, will be publicly disclosing these vulnerabilities on 16 October 2017.”

Många leverantörer av produkter med wifi-anslutning arbetar nu intensivt med att ta fram säkerhetsuppdateringar för täta till bristerna, men än så länge är de få. Routerleverantörerna Ubiquiti och Aruba är två företag som har varit snabba med att släppa uppdateringar som sägs täta till bristerna.

Summa summarum är att klienter och accesspunkter behöver patchas. Båda sidorna är sårbara, dock vid olika tillfällen och med olika konsekvenser.

En klient kommer antagligen att patchas mycket snabbare än en klient som bäddats in i exempelvis en router eller valfri IoT-enhet. Eftersom accesspunkter, IoT-enheter m.m. sällan patchas innebär det här att sårbarheterna förmodligen kommer att hänga med under lång tid.

Det här kan ni göra

1. Uppdatera

Implementera uppdateringar för klienter (ex. datorer och telefoner) och trådlösa accesspunkter så fort uppdateringar finns tillgängliga.

2. Stäng av wifi

Eftersom patchar saknas är enda sättet att säkerställa att ni inte är sårbara att stänga av wifi-access. Ifall det inte är möjligt, säkerställ att det inte går att komma åt interna system och nätverkssegment via wifi.

3. Se över brandväggsregler

Brandväggsregler bör ses över för att man numera kan betrakta alla trådlösa nätverk som "öppna". Ett WPA2-Enterprise med certifikat och hårdvarutokens är nu att betrakta som ett öppet "cafénätverk".

I och med att varje svensk organisation nu har ett öppet "cafénätverk", så naturligtvis bör folk på detta nätverk inte ha några behörigheter som man inte redan ger folk på Internet. Man bör alltså inte komma åt några interna resurser via wifi numera.

4. Använd VPN

VPN hjälper till den graden att ett VPN ofta krypterar all trafik som går i en VPN-tunnel. ”Igår” såg läget ut såhär:

Du skickar ett meddelande till din server. Ditt VPN krypterar meddelandet. WPA2 krypterar VPN:ets redan krypterade paket.

”Idag” skyddar inte WPA2 någonting, men då VPN redan ger dig ett lager av kryptering inuti den trådlösa trafiken så har en angripare inte full tillgång till meddelandet.

"Ert wifi är nu Internet"

En av Sentors tekniska säkerhetskonsulter beskriver situationen enligt följande:

"Ert wifi är nu Internet. Vem som helst har tillgång till det, så behandla all trafik till och från ert wifi som ni skulle hantera trafik till och från en konstig server någonstans i Ryssland."

CVE-nummer

Följande CVE-nummer är aktuella:

  • CVE-2017-13077
  • CVE-2017-13078
  • CVE-2017-13079
  • CVE-2017-13080
  • CVE-2017-13081
  • CVE-2017-13082
  • CVE-2017-13084

Kontakta oss för mer information!

Klicka här!