Уязвимость WPA2

[avanti-sysadmin]

https://habrahabr.ru/company/pentestit/blog/340182/

http://www.kb.cert.org/vuls/id/228519

Добрый день!

Просьба обратить внимание. Спасибо!

[TheBB]

уже обратили и боимся

 

[avanti-sysadmin]

А где эти прошивки найти?

http://files.keenopt.ru/experimental/ здесь настолько свежих нет...

[avanti-sysadmin]

Я правильно понимаю, нужно ставить последнее, что есть на сайте, и далее обновляться в автоматическом режиме?

[AndreBA]

  В 17.10.2017 в 01:16, avanti-sysadmin сказал:

Я правильно понимаю, нужно ставить последнее, что есть на сайте, и далее обновляться в автоматическом режиме?

Показать  

Какая у вас на данный момент прошивка? Что за роутер?

[avanti-sysadmin]

Роутеров много, DSL / II / Giga II / Viva. Везде прошивка одна 2.09.C.1.0-0.

Хотелось бы закрыться от этой уязвимости, но стабильность (в первую очередь IPSec и SNMP) тоже важна, так как сейчас всё работает стабильно...

Изменено 17 октября, 2017 пользователем avanti-sysadmin

[AndreBA]

Что паниковать то, вас уже взламывают? На данный момент 2.09 стабильная прошивка, 2.10 бета, 2.11 экспериментальная. Сами выбирайте на какую перейти.

[Jokkos]

  В 17.10.2017 в 01:26, AndreBA сказал:

Что паниковать то, вас уже взламывают? На данный момент 2.09 стабильная прошивка, 2.10 бета, 2.11 экспериментальная. Сами выбирайте на какую перейти.

Показать  

Добрый день, а там у кого Keenetic Giga можно вообще не переживать? )) Для версии 2.07 прошивку не стоит ждать?

[avanti-sysadmin]

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена.

Но где такие взять? 

http://files.keenopt.ru/experimental/ тут нет

http://files.keenopt.ru/firmware/ тут тоже нет

В этом и был вопрос... надо обновиться на последнюю из тех, что на сайте (draft или delta) и далее обновится средствами самого роутера?

[dexter]

Да, всё верно.

[avanti-sysadmin]

Неужели нужно дождаться момента взлома, чтобы начать действовать? У меня нет желания, чтобы взломали (а сеть большая и точек с кинетиками много и вай-фай на многих из них используется для дела), поэтому и хочу превентивно защититься...

Изменено 17 октября, 2017 пользователем avanti-sysadmin

[AndreBA]

  В 17.10.2017 в 05:16, avanti-sysadmin сказал:

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017

Показать  

Перейдите на "бета-версия"(стрелкой указано где выбрать):

  Цитата

Показать  

 

[AndreBA]

  В 17.10.2017 в 05:16, avanti-sysadmin сказал:

2.11A 4.0-1 от 7.10.2017

Показать  

Это надо переходить на экспериментальные прошивки (только потом не говорить что то здесь не так, там не так...) 

[AndreBA]

  В 17.10.2017 в 04:59, Jokkos сказал:

Добрый день, а там у кого Keenetic Giga можно вообще не переживать? )) Для версии 2.07 прошивку не стоит ждать?

Показать  

Если у вас GIGA (белая), жля нее не будет больше обновлений.

[vasek00]

  В 17.10.2017 в 05:18, avanti-sysadmin сказал:

Неужели нужно дождаться момента взлома, чтобы начать действовать? У меня нет желания, чтобы взломали (а сеть большая и точек с кинетиками много и вай-фай на многих из них используется для дела), поэтому и хочу превентивно защититься...

Показать  

Данный механизм уже пробегал в интернете давно, только там не было Key Reinstallation там взломщику нужно было долго сидеть в wi-fi сити данной базовой (так как SSID виден) и прослушивать поток каждый раз определять начало сессии клиента для перехвата его 4 ключей, после чего шла подмена. Так что бояться на было раньше.

Учтите так же то что вы имеете в своем пользовании наверное смартфон/планшет на Android и кучу бесплатных сетей wi-fi к которым подключаетесь, а может и нет.

[AndreBA]

  В 17.10.2017 в 05:16, avanti-sysadmin сказал:

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена.

Но где такие взять? 

Показать  

Можете здесь подобрать под свои роутеры:

  Цитата

 

Показать  

 

[Jokkos]

  В 17.10.2017 в 06:07, AndreBA сказал:

Если у вас GIGA (белая), жля нее не будет больше обновлений.

Показать  

А есть какой-нибудь дедовский способ или совет обезопасить белых Giga?

[TheBB]

 

 

[r13]

  В 17.10.2017 в 09:32, Jokkos сказал:

А есть какой-нибудь дедовский способ или совет обезопасить белых Giga?

Показать  

Цель этой уязвимости клиенты, так что не за гигу надо переживать, а за тех кто к ней подключается и не получит обновлений.(разве что гига используется как усилитель)...

Изменено 17 октября, 2017 пользователем r13

[TheBB]

  В 17.10.2017 в 09:32, Jokkos сказал:

А есть какой-нибудь дедовский способ или совет обезопасить белых Giga?

Показать  

1 отключить WiFi

2 купить новое устройство

[vasek00]

Вообще то там речь идет и про клиентов то же.

No, luckily implementations can be patched in a backwards-compatible manner. 
This means a patched client can still communicate with an unpatched access 
point, and vice versa. In other words, a patched client or access points sends 
exactly the same handshake messages as before, and at exactly the same moments 
in time. However, the security updates will assure a key is only installed 
once, preventing our attacks. So again, update all your devices once security 
updates are available.

Это означает, что исправленный клиент может все еще связаться с неисправленной 
точкой доступа, и наоборот. Другими словами, исправленный клиент или точки 
доступа отправляют точно те же сообщения квитирования как прежде, и в точно 
те же моменты своевременно. Однако обновления системы защиты гарантируют, что 
ключ только установлен один раз, предотвратив наши атаки. Таким образом, снова 
обновите все свои устройства, как только обновления системы защиты доступны.

И список кто уже обновился по Vendor Information

http://www.kb.cert.org/vuls/id/228519

[Le ecureuil]

  В 17.10.2017 в 05:16, avanti-sysadmin сказал:

TheBB скинул ссылку, там пишут, что в прошивках 2.10.B.0.0-0 от 13.10.2017 и 2.11A 4.0-1 от 7.10.2017 эта уязвимость (частично) решена.

Но где такие взять? 

http://files.keenopt.ru/experimental/ тут нет

http://files.keenopt.ru/firmware/ тут тоже нет

В этом и был вопрос... надо обновиться на последнюю из тех, что на сайте (draft или delta) и далее обновится средствами самого роутера?

Показать  

Спокойно. Если вы не используете WISP или режимы Repeater/AP, то вам ничего не страшно. Просто дождитесь, пока 2.10 выйдет в stable для неподдерживаемых устройств, или попробуйте 2.11 (но вот тут стабильность под вопросом :)).

[dmitrya]

Обычно важные фиксы делаются в срочном порядке и накатываются сразу на стабильную версию. Странно, что вы включили только в бету.

[AndreBA]

  В 20.10.2017 в 10:00, dmitrya сказал:

Обычно важные фиксы делаются в срочном порядке и накатываются сразу на стабильную версию. Странно, что вы включили только в бету.

Показать  

Уже все профиксили.

[dmitrya]

Отлично

[fgsfds]

Для Lite II, Omni, Start и 4G II фикс этой уязвимости доступен официально только в бета-прошивках, и при этом у данных моделей статус поддержки заявлен как EoL

Значит ли это, что эти модели так никогда и не получат официальное релизное обновление с этим фиксом? Это нехорошо.

[TheBB]

  В 25.10.2017 в 18:32, fgsfds сказал:

Значит ли это, что эти модели так никогда и не получат официальное релизное обновление с этим фиксом? Это нехорошо.

Показать  

http://service.ndmsystems.com/changelog.html

[fgsfds]

  В 25.10.2017 в 18:37, TheBB сказал:

http://service.ndmsystems.com/changelog.html

Показать  

Прошивки 2.07.C.5 для Lite II/Omni и 2.05.C.7 для Start/4G II доступны только в ветке beta. Вопрос был про stable-прошивки.

[TheBB]

DSL как пример

[fgsfds]

  В 25.10.2017 в 18:50, TheBB сказал:

DSL как пример

Показать  

Еще раз повторяю: Lite II, Omni, Start, 4G II.

 

Изменено 25 октября, 2017 пользователем fgsfds

[r13]

  В 25.10.2017 в 18:54, fgsfds сказал:

Еще раз повторяю: Lite II, Omni, Start, 4G II.

 

Показать  

Чуток погоняют в бета канале и перенесут в релизный канал теже самые прошивки без изменений.