WPA2の脆弱性(通称KRACKs)への対応について

Blog

KRACK Attacks: Breaking WPA2 /
https://www.krackattacks.com/

Vulnerability Note VU#228519 – Wi-Fi Protected Access II (WPA2) handshake traffic can be manipulated to induce nonce and session key reuse /
https://www.kb.cert.org/vuls/id/228519

無線LANの暗号化プロトコルであるWPA2に脆弱性が見つかりました。事実上、標準となっている設定ですが、当たり前に使われていることから影響範囲が大きくなっており、また、MikrotikのRouterOSもその影響を受けていることが確認されました。

kristate/krackinfo: Vendor Response Matrix for KRACK WPA2 (Key Reinstallation Attack) /
https://github.com/kristate/krackinfo

RouterOS (v6.39.3, v6.40.4, v6.41rc) NOT affected by WPA2 vulnerabilities – MikroTik RouterOS /
https://forum.mikrotik.com/viewtopic.php?f=21&t=126695

発行されているCVE番号などは以下の通り。

CWE-323
CVE-2017-13077
CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13082
CVE-2017-13083
CVE-2017-13084
CVE-2017-13085
CVE-2017-13086
CVE-2017-13087

ただし、RouterOSについては以下のバージョンについては既に対応済みとのこと。

RouterOS v6.39.3, v6.40.4, v6.41rc are not affected!

念のため、RouterOSの無線LAN機器についての推奨される行動は以下の通りということです。

Suggested course of action
It is always recommended to upgrade to latest RouterOS version, but depending on wireless protocol and mode the suggested course of action is as follows:
– nv2: no action necessary
– 802.11/nstreme AP without WDS: no action necessary
– CAPsMAN: no action necessary
– 802.11/nstreme client (all station modes) or AP with WDS: upgrade to fixed version ASAP.

nv2を使用している人はいないと思いますので、以下の感じのようですね。

– WDSなしの802.11 / nstreme AP:何も必要ありません
– CAPsMAN:何もする必要はありません
– 802.11 / nstremeクライアント(すべてのステーションモード)またはWDS対応AP:最新のRouterOSへアップグレードします。

たしか、国内で使用できるRouterboardはhAP acやRB951Ui-2HnD、代理店さんが幾つか特殊仕様で作ったものぐらいのはずですが、使用されている方にあたってはアップデートすることを前提とした計画をお願いします。

また、PC等についてもメーカー各社からドライバなどが出てくるようですので、こちらもアップデートをお願いします。

Wi-Fiを暗号化するWPA2に脆弱性発見 ~対応のあらゆる機器が影響 – PC Watch /
https://pc.watch.impress.co.jp/docs/news/1086255.html

あらゆる端末が影響を受けるWi-Fiの脆弱性はパッチ対応可能 – PC Watch /
https://pc.watch.impress.co.jp/docs/news/1086388.html

ニュース – あらゆるWi-Fiに影響する「WPA2」脆弱性、各社が対策を公開:ITpro /
http://itpro.nikkeibp.co.jp/atcl/news/17/101702451/?rt=nocnt

WPA2のWiFi脆弱性から身を守る方法――KRACK攻撃の内容と対策 | TechCrunch Japan /
http://jp.techcrunch.com/2017/10/17/20171016heres-what-you-can-do-to-protect-yourself-from-the-krack-wifi-vulnerability/

WPA2の脆弱性「KRACKs」についてまとめてみた | Developers.IO /
https://dev.classmethod.jp/security/wpa2-vulnerability-krack/