Заявление об устранении уязвимостей в протоколе безопасности WPA2 (KRACKs)
Описание
Компания TP-Link осведомлена об уязвимостях в протоколе безопасности WPA2, которым подвержены некоторые устройства TP-Link. Злоумышленник в пределах сети Wi-Fi может использовать слабые стороны протокола, используя атаки на повторную установку ключей (KRACK). По словам автора исследования атак KRACK Мэти Вэнхофа (Mathy Vanhoef), атака направлена против "рукопожатия" WPA2 и не использует точки доступа и роутеры, а вместо этого нацелена на клиентов. Любые уязвимости могут быть устранены посредством обновления ПО, так как подобные проблемы связаны с недостатками в работе устройства.
TP-Link работает над решением данной проблемы и будет продолжать публиковать обновления ПО по ссылке: www.tp-link.com/support.html. На устройства с функцией TP-Link Cloud будут приходить уведомления об обновлениях в веб-утилите управления, приложения Tether или Deco будут обновляться автоматически.
Более подробную информацию об атаках KRACK можно найти по ссылке: https://www.krackattacks.com.
Условия возникновения уязвимости:
- Физические ограничения: атака может произойти только в том случае, когда злоумышленник находится в непосредственной близости или в пределах покрытия вашей беспроводной сети.
- Временной промежуток: атака может произойти только при подключении или повторном подключении к существующей сети Wi-Fi.
Устройства TP-Link, не подверженные уязвимости:
Все адаптеры Powerline
Все мобильные Wi-Fi устройства
Роутеры и шлюзы, работающие в режиме по умолчанию (режим роутера) и режиме точки доступа
Усилители Wi-Fi сигнала, работающие в режиме точки доступа
Серия точек доступа Wi-Fi EAP для бизнеса, работающие в режиме точки доступа
Устройства TP-Link, подверженные уязвимости:
Роутеры, работающие в режиме Ретранслятора/WISP/Клиента:
TL-WR940N – версия встроенного ПО 3.17.1 Build 170717 Rel.55495n или более ранняя версия (Аппаратная версия 3.0 или более ранняя версия не подвержена уязвимости)
TL-WR841Nv13– версия встроенного ПО 0.9.1 4.16 v0348.0 Build 170814 Rel.59214n или более ранняя версия (Аппаратная версия 12.0 или более ранняя версия не подвержена уязвимости)
TL-WR840N – версия встроенного ПО 0.9.1 4.16 v019a.0 Build 170524 Rel.56478n или более ранняя версия (Аппаратная версия 2.0 или более ранняя версия не подвержена уязвимости)
TL-WR941HP – версия встроенного ПО 3.16.9 Build 20170116 Rel.50912n или более ранняя версия
TL-WR841HP – версия встроенного ПО 3.16.9 Build 160612 Rel.67073n или более ранняя версия
TL-WR902AC – версия встроенного ПО 3.16.9 Build 20160905 Rel.61455n или более ранняя версия
TL-WR802N – версия встроенного ПО 0.9.1 3.16 v0188.0 Build 170705 Rel.34179n или более ранняя версия
TL-WR810N – версия встроенного ПО 3.16.9 Build 160801 Rel.57365n или более ранняя версия
Уязвимости могут быть подвержены роутеры с включённой функцией WDS (отключённой по умолчанию). См. FAQ, чтобы узнать включёна ли функция WDS на вашем роутере.
Усилители Wi-Fi сигнала, работающие в режиме усилителя Wi-Fi сигнала при “рукопожатии” WPA2, используемого только при подключении или повторном подключении к роутеру:
TL-WA850RE – версия встроенного ПО 1.0.0 Build 20170609 Rel.34153 или более ранняя версия
TL-WA855RE – версия встроенного ПО 1.0.0 Build 20170609 Rel.36187 или более ранняя версия
TL-WA860RE – версия встроенного ПО 1.0.0 Build 20170609 Rel.38491 или более ранняя версия
RE200 – версия встроенного ПО 1.1.3 Build 20170818 Rel.58183 или более ранняя версия
RE210 – версия встроенного ПО 3.14.2 Build 160623 Rel.43391n или более ранняя версия
RE305 – версия встроенного ПО 1.0.0 Build 20170614 Rel.42952 или более ранняя версия
RE450 – версия встроенного ПО 1.0.2 Build 20170626 Rel.60833 или более ранняя версия
RE500 – версия встроенного ПО 1.0.1 Build20170210 Rel.59671 или более ранняя версия
RE650 – версия встроенного ПО 1.0.2 Build 20170524 Rel.58598 или более ранняя версия
Wi-Fi адаптеры:
Archer T6E
Archer T9E
Домашняя Wi-Fi система:
Deco M5 - версия встроенного ПО 1 1.1.5 Build 20170820 Rel.62483 или более ранняя версия
VPN-роутер/CPE/WBS/CAP для бизнеса:
CAP300 - версия встроенного ПО 1.1.0 Build 20170601 Rel.60253 или более ранняя версия
CAP300-Outdoor - версия встроенного ПО 1.1.0 Build 20170601 Rel.60212 или более ранняя версия
CAP1750 - версия встроенного ПО 1.1.0 Build 20170601 Rel.60196 или более ранняя версия
CAP1200 - версия встроенного ПО 1.0.0 Build 20170801 Rel.61314 или более ранняя версия
TL-ER604W - версия встроенного ПО 1.2.0 Build 20160825 Rel.45880 или более ранняя версия
CPE520 - версия встроенного ПО 2.1.6 Build 20170908 Rel.45234 или более ранняя версия
CPE610 - версия встроенного ПО 2.1.5 Build 20170830 Rel. 58245 или более ранняя версия
CPE510 - версия встроенного ПО 2.1.6 Build 20170908 Rel. 45233 или более ранняя версия
CPE220 - версия встроенного ПО 2.1.6 Build 20170908 Rel. 45233 или более ранняя версия
CPE210 - версия встроенного ПО 2.1.6 Build 20170908 Rel. 45234 или более ранняя версия
WBS210 - версия встроенного ПО 2.1.0 Build 20170609 Rel. 57434 или более ранняя версия
WBS510 - версия встроенного ПО 2.1.6 Build 20170908 Rel. 45234 или более ранняя версия
Устройства для умного дома:
Умные розетки: HS100, HS105, HS110, HS200
Умные лампы: LB100, LB110, LB120, LB130, LB200, LB230
Умный усилитель Wi-Fi сигнала: RE350K, RE270K, RE370K
Камеры: NC250, NC260, NC450, KC120
Как защитить ваши устройства
До тех пор, пока обновление ПО не будет доступно для устранения уязвимости вашего устройства, рекомендуется принять следующие меры предосторожности:
Для Wi-Fi роутеров: убедитесь, что роутеры работают в режиме роутера или точки доступа и установите патч для ОС ваших смартфонов, планшетов и компьютеров.
Для Wi-Fi адаптеров: установите патч для ОС компьютеров.
Обновление для системы безопасности Microsoft: корпорация Microsoft выявила и устранила проблемы безопасности, приведённые здесь: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Часто задаваемые вопросы о том, как узнать, используется ли функция WDS на роутерах TP-Link?
ТP-Link работает над моделями, подверженными уязвимости, и выпустит встроенное ПО в течение ближайших нескольких недель, которое будет доступно на нашем официальном сайте.
Связанные идентификаторы CVE
Следующие идентификаторы CVE были назначены, чтобы отслеживать, на какие устройства влияют определённые типы атак KRACK:
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame
Отказ от ответственности
Уязвимости WPA2 останутся не устранёнными, если не будут предприняты все рекомендованные меры. TP-Link не несёт какую-либо ответственность за последствия, которые возможно было бы избежать, следуя рекомендациям данного заявления.
Был ли этот FAQ полезен?
Ваш отзыв поможет нам улучшить работу сайта.
Сообщество TP-Link
Нужна помощь? Задавайте вопросы, находите ответы и обращайтесь за помощью к специалистам TP-Link и другим пользователям со всего мира.