Ευπάθεια WPA2

[deniSun]

Σχετικά με την ευπάθεια στο WPA2 που ανακοινώθηκε σήμερα από CERT/CC/ICASI
η ΜΤ απαντά για το ROS [Mon Oct 16, 2017 9:00 am]:

On October 16. CERT/CC/ICASI released a public announcement about discovered vulnerabilities in WPA2 handshake protocols that affect most WiFi users and all vendors world wide.
RouterOS v6.39.3, v6.40.4, v6.41rc are not affected!
It is important to note that the vulnerability is discovered in the protocol itself, so even a correct implementation is affected.
These organizations did contact us earlier, so we have already released fixed versions that address the outlined issues. Not all of the discovered vulnerabilities directly impact RouterOS users, or even apply to RouterOS, but we did follow all recommendations and improved the key exchange process according to the guidelines we received from the organizations who discovered the issue.
We released fixed versions last week, so if you upgrade your devices routinely, no further action is required.
CWE-323
CVE-2017-13077
CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13082
CVE-2017-13083
CVE-2017-13084
CVE-2017-13085
CVE-2017-13086
CVE-2017-13087

The following applies to RouterOS software prior to updates related to the issue.

nv2
nv2 is not affected in any way. This applies to both - nv2 AP and client. There is no nonce reset in key exchange possible and key re-installation is not possible, because nv2 key exchange does not directly follow 802.11 key exchange specification.

802.11 nonce reuse
RouterOS is not affected in any way, RouterOS generates cryptographically strong random initial nonce on boot and never reuses the same nonce during uptime.

802.11 key reinstallation
The device operating as client in key exchange is affected by this issue. This means that RouterOS in station modes and APs that establish WDS links with other APs are affected. RouterOS APs (both - standalone and CAPsMAN controlled), that do not establish WDS links with other APs, are not affected. Key reinstallation by resending key exchange frame allows attacker to reset encrypted frame packet counter. This allows attacker to replay frames that where previously sent by AP to client. Please note that RouterOS DOES NOT reset key to some known value that would allow attacker to inject/decrypt any frames to/from client.

Suggested course of action
It is always recommended to upgrade to latest RouterOS version, but depending on wireless protocol and mode the suggested course of action is as follows:
- nv2: no action necessary
- 802.11/nstreme AP without WDS: no action necessary
- CAPsMAN: no action necessary
- 802.11/nstreme client (all station modes) or AP with WDS: upgrade to fixed version ASAP.

[Lagman]

Από τους πρώτους κατασκευαστές η Mikrotik μπράβο.
Ένα πράγμα που δεν μου αρέσει όσον αφορά την ασφάλεια είναι ότι όλες οι συσκευές έχουν developer account, έχω την εντύπωση πως έχει backdoor το RouterOS(μπορεί και να μην είναι αληθές).

[deniSun]

Από τους πρώτους κατασκευαστές η Mikrotik μπράβο.
Ένα πράγμα που δεν μου αρέσει όσον αφορά την ασφάλεια είναι ότι όλες οι συσκευές έχουν developer account, έχω την εντύπωση πως έχει backdoor το RouterOS(μπορεί και να μην είναι αληθές).

Δηλαδή;

[minas]

Από τους πρώτους κατασκευαστές η Mikrotik μπράβο.
Ένα πράγμα που δεν μου αρέσει όσον αφορά την ασφάλεια είναι ότι όλες οι συσκευές έχουν developer account, έχω την εντύπωση πως έχει backdoor το RouterOS(μπορεί και να μην είναι αληθές).

Από πού βγάζεις αυτό το συμπέρασμα?

Κατά τα άλλα, δεν ξέρω εάν αξίζει ειδικό θέμα για το WPA2/KRACK, μια και η μόνη ευπάθεια που έχουν τα Mikrotik είναι ως client (την οποία προς τιμή τους διόρθωσαν αμέσως). Το πρόβλημα είναι όλες οι ασύρματες συσκευές που συνδέουμε στα access points μας, για τις οποίες πρέπει να ψάχνουμε χωριστές ενημερώσεις (ειδικά τα android 6, που είναι ευπαθή και στο nonce reuse).

[Lagman]

Δηλαδή;

Δηλαδή φτιάχνεις χρήστη deniSun στο RouterOS και υπάρχει και ο χρήστης Dev που δεν μπορείς να τον διαγράψεις.
Το όνομα του χρήστη δεν το θυμάμαι αλλά δεν είναι εμφανές μέσα από το winbox.

[deniSun]

Δηλαδή φτιάχνεις χρήστη deniSun στο RouterOS και υπάρχει και ο χρήστης Dev που δεν μπορείς να τον διαγράψεις.
Το όνομα του χρήστη δεν το θυμάμαι αλλά δεν είναι εμφανές μέσα από το winbox.

Από που μπορείς να το δεις;

[Lagman]

Από πού βγάζεις αυτό το συμπέρασμα?

Κατά τα άλλα, δεν ξέρω εάν αξίζει ειδικό θέμα για το WPA2/KRACK, μια και η μόνη ευπάθεια που έχουν τα Mikrotik είναι ως client (την οποία προς τιμή τους διόρθωσαν αμέσως). Το πρόβλημα είναι όλες οι ασύρματες συσκευές που συνδέουμε στα access points μας, για τις οποίες πρέπει να ψάχνουμε χωριστές ενημερώσεις (ειδικά τα android 6, που είναι ευπαθή και στο nonce reuse).

Συμπέρασμα για ποιο πράγμα ότι υπάρχει κρυφός λογαριασμός ; Αν ψάξεις στο φορουμ της Mikrotik θα το δεις .
Όσον αφορά το backdoor δεν είμαι σίγουρος.

[Lagman]

disconnected, unicast key exchange timeout.

[deniSun]

disconnected, unicast key exchange timeout.

;;;;;;;;;

[Lagman]

Δεν μπορώ να συνδεθώ από το smartphone στο wifi.

Πως λέμε έχω βγει από τα ρούχα μου, εγώ λέω έχω βγει από τα ρούτερ μου.

[deniSun]

Δεν μπορώ να συνδεθώ από το smartphone στο wifi.

Πως λέμε έχω βγει από τα ρούχα μου, εγώ λέω έχω βγει από τα ρούτερ μου.

Σχετίζεται με τα patch του wpa2;
Με τις αναβαθμίσεις του ROS στο ΜΤ δεν είχα κάποιο πρόβλημα.
Αν και το oxygenos δεν έχει διορθωθεί ακόμα.

[Lagman]

Σχετίζεται με τα patch του wpa2;
Με τις αναβαθμίσεις του ROS στο ΜΤ δεν είχα κάποιο πρόβλημα.
Αν και το oxygenos δεν έχει διορθωθεί ακόμα.

Ναι κατά μεγάλη πιθανότητα σχετίζεται με τα patch του wpa2.

[deniSun]

Ναι κατά μεγάλη πιθανότητα σχετίζεται με τα patch του wpa2.

Ποιο ρούτερ έχεις και το smartophone τι τρέχει (ios/android και ποια έκδοση);

[Lagman]

Ποιο ρούτερ έχεις και το smartophone τι τρέχει (ios/android και ποια έκδοση);

Έκανα λάθος τελικά. Δοκίμασα σε ένα hap lite πριν και μετά την αναβάθμιση και λειτούργησε κανονικά οπότε έβαλα συγκεκριμένη συχνότητα από auto έφτιαξα ένα νέο προφίλ με απλό κωδικό συνδέθηκε , το γύρισα στο αρχικό προφίλ έφτιαξα ξανά τη σύνδεση wifi στη συσκευή και αυτό ήταν συνδέθηκε.