• Sala de prensa
  • Declaración de vulnerabilidad de MERCUSYS WPA2 Security (KRACKs)

Declaración de vulnerabilidad de MERCUSYS WPA2 Security (KRACKs)

2017-11-07

Descripción

MERCUSYS tiene conocimiento de las vulnerabilidades en el protocolo de seguridad WPA2 que afectan a algunos productos MERCUSYS. Un atacante dentro del alcance inalámbrico de una red Wi-Fi puede aprovechar estas vulnerabilidades mediante  ataques de reinstalación de claves  (KRACK). Según el documento de investigación sobre KRACK de Mathy Vanhoef que señaló esta vulnerabilidad a la atención de los proveedores, el ataque tiene como objetivo el protocolo de enlace WPA2 y no explota los puntos de acceso, sino que se dirige a los clientes. Todas las vulnerabilidades se pueden solucionar mediante actualizaciones de software, ya que los problemas están relacionados con fallas de implementación.

 

Mercusys ha estado trabajando para resolver este problema y continuará publicando actualizaciones de software en nuestro sitio web: https://www.mercusys.com  . 

 

Puede encontrar más información sobre KRACK a través del enlace: https://www.krackattacks.com .

 

Condiciones bajo las cuales los dispositivos son vulnerables:

● Proximidad física: un ataque solo puede ocurrir cuando un atacante se encuentra en la proximidad física y dentro del alcance inalámbrico de su red.

● Ventana de tiempo: un ataque solo puede ocurrir cuando un cliente se está conectando o reconectándose a una red Wi-Fi.

 

Productos Mercusys no afectados:

Interruptores:

MS105, MS108

 

Enrutadores que funcionan en su modo predeterminado (modo de enrutador):

MW155R, MW305R, MW325R, AC12

 

Productos Mercusys afectados:

Enrutadores (afectados solo cuando la función de puente WDS está habilitada, que por defecto está deshabilitada):

MW155R, MW305R, MW325R, AC12

 

Extensor de alcance:

MW300RE

 

Adaptadores:

MW150US, MW300UM

 

Cómo proteger  sus dispositivos

Hasta que haya una actualización de software disponible para eliminar la vulnerabilidad de su producto, se recomienda tomar las siguientes precauciones:

 

Para enrutadores inalámbricos: asegúrese de que la función de puente WDS de su enrutador esté desactivada y parchee el sistema operativo de sus teléfonos inteligentes, tabletas y computadoras.

 

Para adaptadores inalámbricos y extensores de rango: aplique parches al sistema operativo de sus computadoras.

 

Actualización de seguridad de Microsoft: Microsoft ha solucionado los problemas de seguridad mencionados en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

 

Mercusys ha estado trabajando en los modelos afectados y lanzará firmware durante las próximas semanas en nuestro sitio web oficial.

 

Identificadores CVE asociados

Se han asignado los siguientes identificadores de vulnerabilidades y exposiciones comunes (CVE) para rastrear qué productos se ven afectados por tipos específicos de ataques de reinstalación de claves:

 

1. CVE-2017-13077: reinstalación de la clave de cifrado por pares (PTK-TK) en el protocolo de enlace de 4 vías

2. CVE-2017-13078: reinstalación de la clave de grupo (GTK) en el protocolo de enlace de 4 vías

3. CVE-2017-13079: reinstalación de la clave de grupo de integridad (IGTK) en el protocolo de enlace de 4 vías

4. CVE-2017-13080: reinstalación de la clave de grupo (GTK) en el protocolo de enlace de la clave de grupo

5. CVE-2017-13081: Reinstalación de la clave de grupo de integridad (IGTK) en el protocolo de enlace de clave de grupo.

6. CVE-2017-13082: Aceptación de una solicitud de reasociación de transición rápida BSS (FT) retransmitida y reinstalación de la clave de cifrado por pares (PTK-TK) mientras se procesa

7. CVE-2017-13084: reinstalación de la clave STK en el protocolo de enlace de PeerKey

8. CVE-2017-13086: reinstalación de la clave PeerKey (TPK) Tunneled Direct-Link Setup (TDLS) en el protocolo de enlace TDLS

9. CVE-2017-13087: reinstalación de la clave de grupo (GTK) al procesar una trama de respuesta del modo de suspensión de administración de red inalámbrica (WNM)

10. CVE-2017-13088: reinstalación de la clave de grupo de integridad (IGTK) al procesar una trama de respuesta del modo de suspensión de administración de red inalámbrica (WNM)

 

Descargo de responsabilidad

Las vulnerabilidades de WPA2 permanecerán si no realiza todas las acciones recomendadas. Mercusys no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones de esta declaración.

Utilizamos cookies y la actividad del navegador para mejorar su experiencia, personalizar el contenido y los anuncios y analizar cómo se utilizan nuestros sitios. Para obtener más detalles, lea nuestra Política de privacidad.

Configuración de cookies Aceptar todas las Cookies

Utilizamos cookies y la actividad del navegador para mejorar su experiencia, personalizar el contenido y los anuncios y analizar cómo se utilizan nuestros sitios. Para obtener más detalles, lea nuestra Política de privacidad.

Cookies Básicas

Estas cookies son necesarias para el funcionamiento del sitio web y no se pueden desactivar en sus sistemas.

Mercusys

JSESSIONID, mercusys_privacy_base, mercusys_privacy_marketing, mercusys_popup-right-bottom

Cookies de análisis y marketing

Las cookies de análisis nos permiten analizar sus actividades en nuestro sitio web para mejorar y ajustar la funcionalidad de nuestro sitio web.

Nuestros socios publicitarios pueden establecer cookies de marketing a través de nuestro sitio web para crear un perfil de sus intereses y para mostrarle anuncios relevantes en otros sitios web.

Google Analytics & Google Tag Manager & Google Optimize

_gid, _gat, _gat_global, _ga, _gaexp

Crazy Egg

cebs, _ce.s, _CEFT, _gid, cean, _fbp, ceac, _drip_client_9574608, cean_asoc