Vulnerabilidad crítica 802.11R revelada para redes inalámbricas como parte de las vulnerabilidades de krack

La última actualización de firmware de Cisco Meraki proporciona una solución; Los clientes vulnerables de Meraki pueden aplicar actualizaciones manualmente en cualquier momento.

Se acaban de anunciar varias vulnerabilidades de seguridad nuevas y críticas (generalmente conocidas como Ataques de reinstalación de claves o KRACK) que afectan a las redes inalámbricas utilizando una clave previamente compartida (contraseña) o 802.1x (autenticación centralizada a través de un servidor) para autenticar a los usuarios. Nueve de estas vulnerabilidades requieren actualizaciones del sistema operativo del cliente para parchear los dispositivos de los usuarios, como computadoras portátiles, teléfonos móviles, tabletas, etc. (Microsoft ha lanzado un parche en este momento). Sin embargo, una vulnerabilidad en particular afecta a la mayoría de los proveedores inalámbricos, incluido Cisco Meraki, y apunta a las capacidades de roaming rápido seguro (también conocido como Transición rápida de BSS o FT) inherentes al protocolo 802.11r.

Meraki ya ha identificado redes de clientes en riesgo que usan FT activamente y ha implementado un parche de firmware * para abordar esta vulnerabilidad. Los clientes afectados pueden recibir este parche a través de una actualización perfecta en la nube. Recomendamos encarecidamente a todos los clientes que opten por desactivar 802.11r en sus redes.

Independientemente de las preferencias de exclusión, todos los clientes de Meraki pueden programar fácilmente, o aplicar directamente, el último firmware inalámbrico a través de la página Actualizaciones de firmware en el dashboard de Meraki.

Alentamos a los clientes de Meraki que no son vulnerables (es decir, que no usan activamente las capacidades FT) a que también actualicen al último firmware, asegurando la protección en caso de que 802.11r esté habilitado en el futuro. Una vez más, estos clientes pueden optar por implementar manualmente el firmware a través de la página Actualizaciones de firmware.

Una vez parcheadas, las redes de clientes pueden utilizar de manera segura las capacidades FT de 802.11r.

¿Cuál es el ataque y fuiste afectado?

802.11r es un estándar para mejorar la experiencia de roaming de los dispositivos inalámbricos del cliente a medida que se mueven físicamente por una red determinada y, en virtud de la distancia y la intensidad de la señal, se asocian y disocian automáticamente a varios puntos de acceso (AP). Asociarse a un nuevo AP lleva tiempo, gracias a la autenticación necesaria. FT acelera el proceso de autenticación y asociación para clientes itinerantes, lo que ayuda a proteger contra la pérdida de paquetes y el bajo rendimiento en aplicaciones como llamadas VoIP o contenido de transmisión.

CVE-2017-13082 detalla posibles vulnerabilidades utilizando la vulnerabilidad FT recientemente revelada. Esencialmente, un atacante puede exponer información confidencial intercambiada entre un dispositivo cliente y un punto de acceso inalámbrico aprovechando el hecho de que las tramas reproducidas no se tienen en cuenta al establecer una conexión utilizando FT. Esto permite que un atacante reproduzca datos enviados a un AP, incluidos datos confidenciales de clave de cifrado, lo que permite que el atacante descifre / falsifique tramas inalámbricas. En todos los casos, un atacante debe estar cerca del AP o del cliente bajo ataque.

Solo las redes inalámbricas sin parches que han habilitado la funcionalidad 802.11r están en riesgo. Meraki ha creado una página de dashboard dinámico para ayudar a los clientes a identificar rápidamente las redes vulnerables. Para ver esta página, vaya a Ayuda> Impacto de vulnerabilidad 802.11r. Esta página actualizará dinámicamente el estado de vulnerabilidad de la red según el firmware aplicado y si 802.11r está habilitado.

Para determinar si 802.11r está habilitado para una red inalámbrica Meraki determinada, navegue a Inalámbrico> Configurar> Control de acceso en el dashboard de Meraki y busque en Acceso a la red:

802.11r está deshabilitado en este SSID inalámbrico en particular.

Recomendamos encarecidamente a todos los clientes que verifiquen que estén parcheados a la última versión de firmware * o que hayan deshabilitado 802.11r. Nuestro personal de soporte técnico está disponible para ayudarlo con cualquier pregunta o inquietud que pueda tener.

Para obtener detalles adicionales sobre el ataque y nuestras actualizaciones, consulte nuestras preguntas frecuentes de cara al público.

Para obtener más información técnica, consulte la divulgación de vulnerabilidad del Equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT).

  • La última versión de firmware segura para la mayoría de los modelos MR es MR 24-11; Los clientes que implementen MR33, MR30H o MR74, deben actualizar a la versión de firmware MR 25-7.