LANCOM und KRACK: Wichtiger Hinweis zur Sicherheitslücke in WPA-2

19.10.2017
Vor kurzem wurden erste Hinweise auf eine „Krack“ getaufte Sicherheitslücke in der WPA-2-Verschlüsselung von WLAN-Produkten bekannt.
Lancom LN822ACN Dual Wireless Router

Lancom LN822ACN Dual Wireless Router

(Update in kursiv, 18.10.17)

Unter eng definierten Rahmenbedingungen kann es dazu kommen, dass WLAN-Daten unbefugt mitgeschnitten werden können.

Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.

Bei dem Angriff kann die Verbindung genau eines Clients mit seinem Access Point bzw. WLAN-Router mitgeschnitten werden (Unicast). Gruppenschlüssel für Broadcast- und Multicast-Traffic sind prinzipiell ebenfalls angreifbar, allerdings werden diese oftmals gefiltert, in Unicast gewandelt und enthalten darüber hinaus i.d.R. keine sensitiven Daten.

802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.Auch werden diese Funktionen weder von LANconfig, WEBconfig noch durch die LANCOM Management Cloud standardmäßig aktiviert.

Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.

Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.

Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung.

Über die Verfügbarkeit des LCOS Updates informieren wir umgehend auf unserer Webseite www.lancom.de.

Lancom Systems Firmengebäude in Würselen

Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden. Allerdings gefährdet ein unsicherer Client keine anderen Clients.

 

Hintergrund LANCOM Systems:

Die LANCOM Systems GmbH ist der führende deutsche Hersteller von Netzwerklösungen für Geschäftskunden und die öffentliche Hand.

LANCOM bietet professionellen Anwendern sichere, zuverlässige und zukunftsfähige Infrastrukturlösungen für alle lokalen und standortübergreifenden Netze (WAN, LAN, WLAN) sowie für zentrales Netzwerk-Management auf Basis von Software-defined Networking-Technologien (SD-WAN, SD-LAN, SD-WLAN).

Die LANCOM Router, Gateways und WLAN-Lösungen werden in Deutschland entwickelt und gefertigt, darüber hinaus ist ein Teil des VPN-Portfolios zur Absicherung besonders sensibler Netze und kritischer Infrastrukturen (KRITIS) durch das BSI zertifiziert.

LANCOM Systems hat seinen Hauptsitz in Würselen bei Aachen. Zu den Kunden zählen kleine und mittelständische Unternehmen, Behörden, Institutionen und Großkonzerne aus Deutschland, Europa und zunehmend weltweit. Das Unternehmen ist Partner in der vom BSI initiierten Allianz für Cyber-Sicherheit.

Quelle: LANCOM Systems


© copyright @ Bachert Datentechnik GmbH 2017