WPA2 Sicherheitslücke KRACK – Updates von Aerohive, LANCOM und Sophos schaffen Abhilfe

In der letzten Woche erschütterte KRACK (https://www.krackattacks.com/, Key Reinstallation AttACKs) die kabellose Netzwerkwelt. Nun hat sich der Staub etwas gelegt und die meisten Hersteller haben eine Stellungnahme veröffentlicht und ihre Gegenmaßnahmen präsentiert.

Die Lücke im Protokoll WPA2 wird von den Herstellern mit Firmware-Updates behoben. Abgeänderte Einstellungen wie das Deaktivieren von 802.11r (Fast Roaming) bieten nur einen teilweisen Schutz. Es ist im Allgemeinen dazu zu raten schnellstmöglich auf die zur Verfügung stehenden Versionen upzudaten. Neben der Netzwerkhardware sollten auch die Clients aktualisiert werden.

Wir haben die Informationen der in unserem Shop befindlichen Hersteller zusammengetragen:

Aerohive

Betroffene Produkte und Versionen

  • Jeder Access Point mit HiveOS Version 8.1r2 oder niedriger ist betroffen, so wie auch Aerohive BR100 und BR200 Router mit integriertem WLAN.
  • HiveManager Classic und HiveManager NG sind NICHT verwundbar und sind nicht betroffen.
  • Aerohive Stand-Alone-Anwendungen (StudentManager, HiveSchool, etc) sind nicht betroffen.
  • Aerohive VPN Gateway Virtual Appliance, auch bekannt als CVG, ist NICHT betroffen.

Gegenmaßnahmen

  • Aktualisieren Sie Ihre Access Points auf HiveOS Version 8.1r2a oder auf HiveOS Version 6.5r8a und Branch Router auf HiveOS Version 6.5r8a oder HiveOS Version 6.7r2a. Die aktuellen Versionen von HiveManager Classic (8.1r2) und HiveManager NG (11.26) unterstützen diese neuen HiveOS Versionen ohne ein weiteres Upgrade.
  • HiveOS Version 8.1r2a ist jetzt zur Installation verfügbar.
  • HiveOS Version 6.5r8a ist jetzt zur Installation verfügbar.
  • HiveOS Version 6.7r2a ist jetzt zur Installation verfügbar.

AP110, AP120, AP121, AP141, AP170, BR100, BR200**, AP130*, AP230*, AP320, AP340, AP330, AP350, AP370, AP390, and AP1130* Nutzer sollten unmittelbar auf HiveOS 6.5r8a aktualisieren.

AP122, AP130*, AP150W, AP230*, AP245X, AP250, AP550, AP1130* Nutzer sollten unmittelbar auf HiveOS 8.1r2a aktualisieren.

*AP130, AP230, and AP1130 Nutzer können zwischen HiveOS 6.5r8a und HiveOS 8.1r2a wählen.

**BR200 Nutzer können zwischen HiveOS 6.5r8a und HiveOS 6.7r2a wählen.

Vollständige Reaktion von Aerohive (Wird bis zur finalen Version fortlaufend geändert)
https://www3.aerohive.com/support/security-bulletins/Product-Security-Announcement-Aerohives-Response-to-KRACK-10162017.html

LANCOM

LANCOM hat Firmware-Updates für die Access Points und WLAN-Router zur Verfügung gestellt:

  • LCOS 10.12 SU1
  • LCOS 9.24 SU7
  • LCOS 9.10 SU10

Auch für ältere Geräte, die bereits den Status "End of Sale" oder "End of Life" erreicht haben, stellt LANCOM voraussichtlich ab dem 27.10.2017 folgende LCOS Security Updates bereit:

  • LCOS 9.00 SU6
  • LCOS 8.84 SU10
  • LCOS 8.82 SU2
  • LCOS 8.80 SU2
  • LCOS 8.62 SU8

LANCOM FAQ zu KRACK:
https://www.lancom-systems.de/service-support/soforthilfe/allgemeine-sicherheitshinweise/faq-krack/

Konkrete Handlungsempfehlungen für jedes betroffene LANCOM Gerät:
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/8542dcdecd458503c12581be003dbd44?OpenDocument

Sophos

Das Sophos Wireless-Team arbeitet derzeit an dem erforderlichen Patch und nach vollständiger Implementierung und Tests an den Sophos Lösungen können wir eine Lösung veröffentlichen. Dieser Vorgang kann mehrere Tage dauern.

Empfohlenes Vorgehen

  • Installieren Sie Patches, sobald diese verfügbar sind. Sophos wird diesen Artikel aktualisieren, wenn ein Patch zur Behebung der Sicherheitsanfälligkeit veröffentlicht wird.
  • Sie können ihre Aussetzung gegenüber den Sicherheitsanfälligkeiten reduzieren, indem Sie die Optionen für das schnelle Roaming deaktivieren und Mesh deaktivieren.
  • Die Aussetzung gegenüber diesen Sicherheitsanfälligkeiten kann durch Patchen des drahtlosen Clients oder des Zugriffspunkts verringert werden. In den meisten Fällen verringert ein Patch für den Wireless-Client die Wahrscheinlichkeit, angegriffen zu werden, selbst dann, wenn der AP noch anfällig ist. Microsoft und viele andere Anbieter haben Patches veröffentlicht, mit denen diese Exploits blockiert werden können.

Sophos Knowledge-Base Eintrag zu KRACK mit Firmware-Updates und Veröffentlichungsdaten:
https://community.sophos.com/kb/en-us/127658

Wir hoffen, dass dies Zusammenstellung hilfreich ist.
Ihr wlanport-Team

STAND: 23.10.2017