Bundesamt für Sicherheit in der Informationstechnik

Technische Warnung

27.10.2017 - TW-T17-0119_Update_2

Sicherheitslücken in WLAN-Protokoll veröffentlicht

Art der Meldung: Warnmeldung

Risikostufe 4

Betroffene Systeme:

  • Cisco AnyConnect Secure Mobility Client
  • Cisco Mobility Express
  • WPA2, IEEE Standard for Information Technology 802.11i
  • SUSE OpenStack Cloud 6
  • Sophos UTM Software vor 9.505
  • hostapd
  • WPA Supplicant
  • Cisco Wireless-N Access Point
  • Cisco ASA 5506
  • Cisco Aironet Access Point
  • Cisco Integrated Services Routers
  • FortiGate
  • Sophos UTM
  • Apple Mac OS X
  • BlackBerry powered by Android
  • BlackBerry powered by Android vor 2017-10-05 Built AAQ280
  • BlackBerry powered by Android vor 2017-10-05 Built AAQ281
  • BlackBerry powered by Android vor 2017-10-05 Built AAQ289
  • Canonical Ubuntu Linux 14.04 LTS
  • Canonical Ubuntu Linux 16.04 LTS
  • Canonical Ubuntu Linux 17.04
  • Cisco IOS
  • Debian Linux 8.9 Jessie
  • Debian Linux 9.2 Stretch
  • Debian Linux 10.0 Buster
  • FortiOS ab 5.2.0
  • FortiOS bis einschließlich 5.2.11
  • FortiOS ab 5.4.0
  • FortiOS bis einschließlich 5.4.5
  • FortiOS ab 5.6.0
  • FortiOS bis einschließlich 5.6.2
  • FreeBSD
  • FreeBSD vor 10.3-RELEASE-p22
  • FreeBSD vor 10.4-RELEASE-p1
  • FreeBSD vor 10.4-STABLE
  • FreeBSD vor 11.0-RELEASE-p13
  • FreeBSD vor 11.1-RELEASE-p2
  • FreeBSD vor 11.1-STABLE
  • GNU/Linux
  • Juniper Junos OS 12.1X46
  • Juniper ScreenOS 6.3
  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows 7 SP1 x86
  • Microsoft Windows 8.1 x64
  • Microsoft Windows 8.1 x86
  • Microsoft Windows 10 x64
  • Microsoft Windows 10 x86
  • Microsoft Windows 10 x64 v1511
  • Microsoft Windows 10 x86 v1511
  • Microsoft Windows 10 x64 v1607
  • Microsoft Windows 10 x86 v1607
  • Microsoft Windows 10 x64 v1703
  • Microsoft Windows 10 x86 v1703
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2008 SP2 x64 Server Core Installation
  • Microsoft Windows Server 2008 SP2 x86 Server Core Installation
  • Microsoft Windows Server 2008 SP2 x64
  • Microsoft Windows Server 2008 SP2 x86
  • Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
  • Microsoft Windows Server 2008 R2 SP1 Itanium
  • Microsoft Windows Server 2008 R2 SP1 x64
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 Server Core Installation
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012 R2 Server Core Installation
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2016 x64 Server Core Installation
  • openSUSE Leap 42.2
  • openSUSE Leap 42.3
  • SUSE Linux Enterprise Desktop 12 SP2
  • SUSE Linux Enterprise Desktop 12 SP3
  • SUSE Linux Enterprise Server 11 SP3 LTSS
  • SUSE Linux Enterprise Server 11 SP4
  • SUSE Linux Enterprise Server 12 LTSS
  • SUSE Linux Enterprise Server 12 SP1 LTSS
  • SUSE Linux Enterprise Server for SAP 12 SP1
  • SUSE Linux Enterprise Server 12 SP2
  • SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
  • SUSE Linux Enterprise Server 12 SP3
  • Oracle Linux 6
  • Oracle Linux 7
  • Red Hat Enterprise Linux for Scientific Computing 6
  • Red Hat Enterprise Linux for Scientific Computing 7
  • Red Hat Enterprise Linux 7.4 EUS Compute Node
  • Red Hat Enterprise Linux Desktop 6
  • Red Hat Enterprise Linux Desktop 7
  • Red Hat Enterprise Linux Server 6
  • Red Hat Enterprise Linux Server 7
  • Red Hat Enterprise Linux Server for ARM 7
  • Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4
  • Red Hat Enterprise Linux Server 7.4 AUS
  • Red Hat Enterprise Linux Server 7.4 EUS
  • Red Hat Enterprise Linux Server 7.4 TUS
  • Red Hat Enterprise Linux Workstation 6
  • Red Hat Enterprise Linux Workstation 7
  • Red Hat Fedora 25
  • Red Hat Fedora 26
  • Red Hat Fedora 27

Empfehlung:

Insbesondere clientseitig bereitstehende Sicherheitsupdates sollten umgehend eingespielt werden.

Falls Sie nicht sicher sind, ob der Hersteller eines Ihrer Geräte mit WLAN-Schnittstelle bereits auf die Veröffentlichung der Schwachstellen reagiert hat, verwenden Sie zur Datenübertragung ausschließlich kabelgebundene Verbindungen oder mobile Datennetze. Um das Risiko zu minimieren, können kabellose Verbindungen zusätzlich mit einer VPN-Verschlüsselung abgesichert werden.

Zum Zeitpunkt der Veröffentlichung liegen noch keine Hinweise auf Sicherheitsupdates im Endkundenbereich vor. Einige Hersteller von Linux-Software und amerikanische Hersteller von WLAN-Routern haben bereits mit Sicherheitsupdates reagiert.

Update:

27.10.2017:
BlackBerry informiert über das Ergebnis seiner Untersuchungen bezüglich des Einflusses der unter dem Namen 'KRACK' bekannt gewordenen Schwachstellen auf seine Produkte. Smartphones mit dem Betriebssystem 'BlackBerry powered by Android' sind von den folgenden Schwachstellen betroffen: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087 und CVE-2017-13088. Ein aktualisiertes Software-Build zur Behebung dieser Schwachstellen ist in den 'BlackBerry powered by Android' Builds mit den Build-Nummern AAQ280, AAQ281 oder AAQ289 enthalten, welche zeitnah zur Verfügung gestellt werden.

17.10.2017:
Microsoft informiert über die Betroffenheit gegenüber der 'Windows Wireless WPA Group Key Reinstallation' Sicherheitslücke, die von einem Angreifer, welcher sich in Reichweite eines drahtlosen Netzes (WLAN) mit WAP- oder WAP 2-Verschlüsselung befindet, ausgenutzt werden kann, um diese Verschlüsselung auszuhebeln. Microsoft veröffentlicht 'Monthly Rollup', 'Security Only' und 'Security Updates' für alle unterstützten Windows-Versionen.

Beschreibung:

Cisco AnyConnect Secure Mobility Client stellt für Laptops oder andere Mobilgeräte sicheren Zugang zu VPNs auf Cisco-Basis bereit.

Cisco Mobility Express ist eine WLAN-Lösung zur Integration von WLAN-Controller Funktionen in Aironet Access-Points für kleine und mittelgroße Netzwerke.

Der IEEE Standard for Information Technology 802.11 'Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications' beschreibt unter anderem technische Aspekte in Wireless Local Area Networks (WLANs), welche die kabellose Verbindung von festen, transportablen und sich bewegenden Stationen innerhalb eines lokal begrenzten Netzwerks betreffen. Mit Wi-Fi Protected Access 2 (WPA2) wird der Anhang 802.11i (Amendment 6: Medium Access Control (MAC) Security Enhancements) bezeichnet.

Sophos UTM Software ist die Software-Version von Sophos UTM (ehemals Astaro Security Gateway), eine Security Gateway Lösung für Unternehmen.

hostapd ist ein Daemon für Access Points und Authentication Server. hostapd ist darauf ausgerichtet als Daemon im Hintergrund zu laufen und als Backend die Authentifikation zu kontrollieren.

wpa_supplicant ist die IEEE 802.1X/WPA Komponente, die in Client-Rechner verwendet wird. Es implementiert die Schlüsselverhandlung mit einem WPA Authentikator und das Roaming sowie das IEEE 802.11 Authentifizierung/Assoziation des WLAN-Treibers.

BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete Version von Google Android zum Einsatz auf BlackBerry Smartphones.

FortiOS ist ein speziell entwickeltes und auf Sicherheit ausgelegtes Betriebssystem für alle FortiGate-Plattformen.

FreeBSD (nach "Berkeley Software Distribution") ist ein freies und vollständiges, unixbasiertes Betriebssystem.

Die gefundenen Sicherheitslücken im WLAN-Protokoll lassen sich ausnutzen, um von Ihnen im WLAN übertragene Daten zu entschlüsseln und zu lesen und möglicherweise den gesamten Datenverkehr im Netzwerk zu manipulieren.

Betroffen sind alle WLAN-fähigen Endgeräte, also auch Mobiltelefone, Internetrouter, Smart-TVs, Kühlschränke und andere internetfähigen Geräte in Ihrem Haushalt.

Zusammenfassung:

Sicherheitsforscher haben mehrere Sicherheitslücken im WLAN-Protokoll aufgedeckt, die weltweit potenziell alle Geräte mit WLAN-Möglichkeit betreffen. Die Sicherheitslücken können von einem Angreifer ausgenutzt werden, der sich in Ihrer Nähe befindet und Zugriff auf ein drahtloses Netzwerk hat, in dem auch Ihre Geräte angemeldet sind. Zumindest übergangsweise ist ein mit WPA2 geschütztes WLAN somit praktisch wie ein öffentliches Netzwerk zu bewerten.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK