Уязвимость WPA2

[avanti-sysadmin]

https://habrahabr.ru/company/pentestit/blog/340182/

http://www.kb.cert.org/vuls/id/228519

Добрый день!

Просьба обратить внимание. Спасибо!

[TheBB]

уже обратили и боимся

 

[avanti-sysadmin]

А где эти прошивки найти?

http://files.keenopt.ru/experimental/ здесь настолько свежих нет...

[avanti-sysadmin]

Я правильно понимаю, нужно ставить последнее, что есть на сайте, и далее обновляться в автоматическом режиме?

[AndreBA]

1 минуту назад, avanti-sysadmin сказал:

Я правильно понимаю, нужно ставить последнее, что есть на сайте, и далее обновляться в автоматическом режиме?

Какая у вас на данный момент прошивка? Что за роутер?

[avanti-sysadmin]

Роутеров много, DSL / II / Giga II / Viva. Везде прошивка одна 2.09.C.1.0-0.

Хотелось бы закрыться от этой уязвимости, но стабильность (в первую очередь IPSec и SNMP) тоже важна, так как сейчас всё работает стабильно...

Изменено 17 октября, 2017 пользователем avanti-sysadmin

[AndreBA]

Что паниковать то, вас уже взламывают? На данный момент 2.09 стабильная прошивка, 2.10 бета, 2.11 экспериментальная. Сами выбирайте на какую перейти.

[Jokkos]

3 часа назад, AndreBA сказал:

Что паниковать то, вас уже взламывают? На данный момент 2.09 стабильная прошивка, 2.10 бета, 2.11 экспериментальная. Сами выбирайте на какую перейти.

Добрый день, а там у кого Keenetic Giga можно вообще не переживать? )) Для версии 2.07 прошивку не стоит ждать?

[avanti-sysadmin]

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена.

Но где такие взять? 

http://files.keenopt.ru/experimental/ тут нет

http://files.keenopt.ru/firmware/ тут тоже нет

В этом и был вопрос... надо обновиться на последнюю из тех, что на сайте (draft или delta) и далее обновится средствами самого роутера?

[dexter]

Да, всё верно.

[avanti-sysadmin]

Неужели нужно дождаться момента взлома, чтобы начать действовать? У меня нет желания, чтобы взломали (а сеть большая и точек с кинетиками много и вай-фай на многих из них используется для дела), поэтому и хочу превентивно защититься...

Изменено 17 октября, 2017 пользователем avanti-sysadmin

[AndreBA]

43 минуты назад, avanti-sysadmin сказал:

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017

Перейдите на "бета-версия"(стрелкой указано где выбрать):

Цитата

 

[AndreBA]

47 минут назад, avanti-sysadmin сказал:

2.11A 4.0-1 от 7.10.2017

Это надо переходить на экспериментальные прошивки (только потом не говорить что то здесь не так, там не так...) 

[AndreBA]

1 час назад, Jokkos сказал:

Добрый день, а там у кого Keenetic Giga можно вообще не переживать? )) Для версии 2.07 прошивку не стоит ждать?

Если у вас GIGA (белая), жля нее не будет больше обновлений.

[vasek00]

53 минуты назад, avanti-sysadmin сказал:

Неужели нужно дождаться момента взлома, чтобы начать действовать? У меня нет желания, чтобы взломали (а сеть большая и точек с кинетиками много и вай-фай на многих из них используется для дела), поэтому и хочу превентивно защититься...

Данный механизм уже пробегал в интернете давно, только там не было Key Reinstallation там взломщику нужно было долго сидеть в wi-fi сити данной базовой (так как SSID виден) и прослушивать поток каждый раз определять начало сессии клиента для перехвата его 4 ключей, после чего шла подмена. Так что бояться на было раньше.

Учтите так же то что вы имеете в своем пользовании наверное смартфон/планшет на Android и кучу бесплатных сетей wi-fi к которым подключаетесь, а может и нет.

[AndreBA]

1 час назад, avanti-sysadmin сказал:

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена.

Но где такие взять? 

Можете здесь подобрать под свои роутеры:

Цитата

 

 

[Jokkos]

3 часа назад, AndreBA сказал:

Если у вас GIGA (белая), жля нее не будет больше обновлений.

А есть какой-нибудь дедовский способ или совет обезопасить белых Giga?

[TheBB]

 

 

[r13]

4 минуты назад, Jokkos сказал:

А есть какой-нибудь дедовский способ или совет обезопасить белых Giga?

Цель этой уязвимости клиенты, так что не за гигу надо переживать, а за тех кто к ней подключается и не получит обновлений.(разве что гига используется как усилитель)...

Изменено 17 октября, 2017 пользователем r13

[TheBB]

4 минуты назад, Jokkos сказал:

А есть какой-нибудь дедовский способ или совет обезопасить белых Giga?

1 отключить WiFi

2 купить новое устройство

[vasek00]

Вообще то там речь идет и про клиентов то же.

No, luckily implementations can be patched in a backwards-compatible manner. 
This means a patched client can still communicate with an unpatched access 
point, and vice versa. In other words, a patched client or access points sends 
exactly the same handshake messages as before, and at exactly the same moments 
in time. However, the security updates will assure a key is only installed 
once, preventing our attacks. So again, update all your devices once security 
updates are available.

Это означает, что исправленный клиент может все еще связаться с неисправленной 
точкой доступа, и наоборот. Другими словами, исправленный клиент или точки 
доступа отправляют точно те же сообщения квитирования как прежде, и в точно 
те же моменты своевременно. Однако обновления системы защиты гарантируют, что 
ключ только установлен один раз, предотвратив наши атаки. Таким образом, снова 
обновите все свои устройства, как только обновления системы защиты доступны.

И список кто уже обновился по Vendor Information

http://www.kb.cert.org/vuls/id/228519

[Le ecureuil]

В 10/17/2017 в 08:16, avanti-sysadmin сказал:

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена.

Но где такие взять? 

http://files.keenopt.ru/experimental/ тут нет

http://files.keenopt.ru/firmware/ тут тоже нет

В этом и был вопрос... надо обновиться на последнюю из тех, что на сайте (draft или delta) и далее обновится средствами самого роутера?

Спокойно. Если вы не используете WISP или режимы Repeater/AP, то вам ничего не страшно. Просто дождитесь, пока 2.10 выйдет в stable для неподдерживаемых устройств, или попробуйте 2.11 (но вот тут стабильность под вопросом :)).

[dmitrya]

Обычно важные фиксы делаются в срочном порядке и накатываются сразу на стабильную версию. Странно, что вы включили только в бету.

[AndreBA]

5 минут назад, dmitrya сказал:

Обычно важные фиксы делаются в срочном порядке и накатываются сразу на стабильную версию. Странно, что вы включили только в бету.

Уже все профиксили.

[dmitrya]

Отлично

[fgsfds]

Для Lite II, Omni, Start и 4G II фикс этой уязвимости доступен официально только в бета-прошивках, и при этом у данных моделей статус поддержки заявлен как EoL

Значит ли это, что эти модели так никогда и не получат официальное релизное обновление с этим фиксом? Это нехорошо.

[TheBB]

4 минуты назад, fgsfds сказал:

Значит ли это, что эти модели так никогда и не получат официальное релизное обновление с этим фиксом? Это нехорошо.

http://service.ndmsystems.com/changelog.html

[fgsfds]

1 минуту назад, TheBB сказал:

http://service.ndmsystems.com/changelog.html

Прошивки 2.07.C.5 для Lite II/Omni и 2.05.C.7 для Start/4G II доступны только в ветке beta. Вопрос был про stable-прошивки.

[TheBB]

DSL как пример

[fgsfds]

4 минуты назад, TheBB сказал:

DSL как пример

Еще раз повторяю: Lite II, Omni, Start, 4G II.

 

Изменено 25 октября, 2017 пользователем fgsfds

[r13]

16 минут назад, fgsfds сказал:

Еще раз повторяю: Lite II, Omni, Start, 4G II.

 

Чуток погоняют в бета канале и перенесут в релизный канал теже самые прошивки без изменений.