Proteger su red de la última vulnerabilidad WPA1/WPA2-PSK

Nueva herramienta disponible en el dashboard de Meraki para evaluar si su red se ve afectada.

El 4 de agosto de 2018, Jens Steube anunció un nuevo método para explotar una vulnerabilidad conocida del proyecto Hashcat para redes inalámbricas que usan WPA1 / WPA2-PSK (clave precompartida), permitiendo a los atacantes obtener el PSK que se usa para SSID particular. La vulnerabilidad afecta a la mayoría de los proveedores inalámbricos que usan tecnologías de roaming, incluido Cisco Meraki, y apunta a la información intercambiada entre el cliente y AP a través de marcos de administración durante el roaming inherente al protocolo 802.11. Los clientes que usan Meraki AP son vulnerables si usan roaming rápido (802.11r) con PSK.

El ataque es un enfoque alternativo para recopilar información para los ataques existentes que se puede utilizar para determinar el PSK. El ataque explota el caso en el que el PSK se transfiere por el aire de manera aleatoria. El uso de PSK para proteger las redes Wi-Fi no se considera el enfoque más seguro, ya que las redes aún son propensas a ataques de ingeniería social en los que el PSK se puede distribuir a los usuarios fuera de la organización.

Meraki ya identificó clientes en riesgo y les notificó sobre la vulnerabilidad. Además, se ha agregado una advertencia al dashboard de Meraki que notifica a los clientes si su configuración los hace vulnerables. Los SSID que usan WPA / WPA2-Enterprise no se ven afectados por esta vulnerabilidad, ya que el proceso de generación de claves es muy diferente en comparación con PSK.

¿Cuál es el ataque?

Las tecnologías de itinerancia se desarrollaron para mejorar la experiencia de transferencia de puntos de acceso de los dispositivos cliente inalámbricos a medida que se mueven físicamente por una red determinada y, en virtud de la distancia y la intensidad de la señal, se asocian automáticamente y se disocian con varios puntos de acceso (AP). Asociarse con un nuevo AP lleva tiempo debido a la autenticación necesaria. La itinerancia rápida (FT) acelera el proceso de autenticación y asociación para clientes itinerantes, lo que ayuda a proteger contra la pérdida de paquetes y el bajo rendimiento en aplicaciones de gran ancho de banda como llamadas VoIP o contenido de transmisión.

Como parte del ataque, un atacante puede apuntar al proceso de re-asociación para obtener la ID de clave maestra única utilizada para el cliente específico. La ID de la clave maestra se deriva de la clave maestra (también PSK) y el nombre, la dirección MAC AP y la dirección MAC del cliente. Dado que la clave maestra se deriva del PSK y se pueden obtener fácilmente otros detalles, un atacante puede obtener la clave. Debido a que este ataque utiliza un ataque de diccionario para determinar el PSK que se está utilizando, se recomienda encarecidamente que los administradores usen contraseñas seguras que no sean susceptibles de intentos de adivinanzas.

¿Estoy afectado?
Solo los clientes que usan FT con WPA / WPA2-PSK en Meraki AP se ven afectados. Para medir el impacto, los clientes pueden aprovechar una nueva herramienta disponible en el dashboard de Meraki yendo a Anuncios> KRACK & PMKID Vulnerability Impact para verificar cualquier red que pueda verse afectada. Los clientes pueden desactivar fácilmente 802.11r (FT) para todas las redes afectadas directamente desde la herramienta. Solo los clientes afectados por la vulnerabilidad PMKID y / o KRACK verán la herramienta en el dashboard.

Para determinar si 802.11r está habilitado para una red inalámbrica Meraki determinada, navegue a Inalámbrico> Configurar> Control de acceso en el dashboard de Meraki y busque en Acceso a la red:

Recomendamos encarecidamente a todos los clientes que deshabiliten 802.11r cuando se usen con PSK. Nuestro personal de soporte técnico está disponible para ayudarlo con cualquier pregunta o inquietud que pueda tener.

Para obtener detalles adicionales sobre el ataque y las actualizaciones, por favor refiérase a las preguntas frecuentes. Lea la divulgación de vulnerabilidad del Equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) para obtener más información técnica.