Em 16 de outubro. CERT / CC / ICASI divulgou um anúncio público sobre vulnerabilidades descobertas em protocolos de handshake WPA2 que afetam a maioria dos usuários WiFi e todos os fornecedores em todo o mundo.
RouterOS v6.39.3, v6.40.4, v6.41rc não são afetados!
É importante notar que a vulnerabilidade é descoberta no próprio protocolo, então mesmo uma implementação correta é afetada.
Essas organizações nos contataram anteriormente, então já lançamos versões fixas que abordam os problemas descritos. Nem todas as vulnerabilidades descobertas impactam diretamente os usuários do RouterOS, nem se aplicam ao RouterOS, mas seguimos todas as recomendações e melhoramos o processo de troca de chaves de acordo com as diretrizes que recebemos das organizações que descobriram o problema.
nv2
nv2 não é afetado de forma alguma. Isso se aplica a ambos - nv2 AP e ao cliente. Não é possível reiniciar a troca de chaves e a reinstalação da chave não é possível, porque a troca de chaves nv2 não segue diretamente a especificação de troca de chaves 802.11.
802.11 não é reutilizado
O RouterOS não é afetado de forma alguma, o RouterOS gera criptografia inicialmente inicial aleatória sem inicialização e não reutiliza o mesmo evento durante o tempo de atividade.
Reinstalação de chaves 802.11
O dispositivo que opera como cliente na troca de chaves é afetado por esta questão. Isso significa que o RouterOS nos modos de estação e APs que estabelecem links WDS com outros APs são afetados. Os APs do RouterOS (ambos - autônomos e CAPsMAN controlados), que não estabelecem links WDS com outros APs, não são afetados. A reinstalação da chave reenviando o quadro de troca de chaves permite que o invasor reative o contador de pacotes de quadro criptografado. Isso permite que o atacante reproduza quadros que, anteriormente, enviados pelo AP para o cliente. Por favor, note que o RouterOS NÃO restaura a chave para algum valor conhecido que permitiria que o invasor injetasse / descriptografar qualquer quadro para / do cliente.
Curso sugerido de ação
Recomenda-se sempre atualizar para a versão RouterOS mais recente, mas, dependendo do protocolo e do modo sem fio, o curso de ação sugerido é o seguinte:
- nv2: nenhuma ação necessária
- 802.11 / nstreme AP sem WDS: nenhuma ação necessária
CAPSMAN: não é necessária nenhuma ação
- Cliente 802.11 / nstreme (todos os modos de estação) ou AP com WDS: atualização para versão fixa o mais rápido possível.
Para dispositivos AP :
| Modo |
Curso de ação |
| nv2 |
Não é necessária uma atualização |
| nstreme |
Não é necessária uma atualização |
| Wi-fi |
Não é necessária uma atualização |
| CAPSMAN WiFi |
Não é necessária uma atualização |
| WDS WiFi / nstreme |
Requisição necessária |
Para dispositivos CPE (modo MikroTik Station) :
| Modo |
Curso de ação |
| nv2 |
Não é necessária uma atualização |
| Wi-fi |
Requisição necessária |
| nstreme |
Requisição necessária |
