Das neueste Firmware-Update von Cisco Meraki bietet eine Lösung für die kürzlich aufgedeckten Sicherheitslücken in 802.11r – betroffene Kunden können das Update jederzeit manuell installieren
Vor wenigen Tagen hat der Sicherheitsforscher Mathy Vanhoef der Universität Leuven in Belgien kritische Sicherheitslücken im WiFi Verschlüsselungsprotokoll WPA2 veröffentlicht. Die unter dem Akronym KRACKs (Key Reinstallation AttaACKs) bekannt gewordenen Schwachstellen betreffen drahtlose Netzwerke, die entweder einen vorab geteilten Schlüssel (Passwort) oder 802.1x (zentrale Authentifizierung über einen Server) zum Authentifizieren von Benutzern verwenden.
Neun dieser Schwachstellen erfordern Updates im Betriebssystem des Clients, also Benutzergeräte wie Laptops, Mobiltelefone, Tablets usw., um die Sicherheitslücke zu schließen (Microsoft hat bereits einen entsprechenden Patch veröffentlicht).
Allerdings nutzt KRACK insbesondere auch eine Schwachstelle, von der die meisten Wireless Networking Anbieter – darunter Cisco Meraki – betroffen sind. Sie zielt dabei auf Fast Secure Roaming (auch bekannt unter „Fast BSS Transition“ bzw. „FT“), auf welchem das 802.11r Protokoll unter anderem beruht.
Dank der Cloud-Architektur konnte Meraki bereits sämtliche gefährdeten Kundennetzwerke identifizieren, die FT aktiv nutzen und hat einen Firmware-Patch* veröffentlicht, um diese Sicherheitslücke zu beheben. Betroffene Kunden können diesen über ein Cloud-Update nahtlos installieren. Kunden, die dieses Update vorerst nicht installieren wollen, empfehlen wir dringend, 802.11r auf ihren Netzwerken auszuschalten.
Sie können dieses Firmware-Update über die „Firmware Updates“ Seite im Dashboard einfach mit wenigen Klicks sogleich installieren, oder für einen späteren Zeitpunkt planen. Wir empfehlen auch allen anderen Meraki Kunden – selbst wenn sie nicht von der Lücke betroffen sind, da sie FT-Funktionen nicht aktiv nutzen – auf die neueste Firmware-Version zu aktualisieren. So stellen Sie sicher, dass Ihre Netzwerke auch geschützt sind, wenn Sie in Zukunft 802.11r aktivieren.
Nach dem Patching können Kundennetzwerke die FT-Funktionen von 802.11r wieder sicher nutzen.
Was ist KRACK – und waren Sie betroffen?
802.11r ist ein Standard zur Verbesserung der Roaming-Verhaltens drahtloser Client-Geräte. Dies nützt insbesondere, wenn sich ein Nutzer physisch innerhalb eines bestimmten Netzwerks bewegt und sich das Gerät aufgrund unterschiedlicher Signalstärken mit einem Access Point nach dem anderen verbindet. Die Assoziation mit einem neuen Access Point erfordert dank der sicherheitsnotwendigen Authentifizierung Zeit. FT beschleunigt den Authentifizierungs- und Assoziierungsprozess für solche Roaming-Clients – und schützt so vor Paketverlust und schlechter Leistung. WiFi-Telefonanrufe, Musik- oder Videostreams laufen so beispielsweise unterbruchsfrei weiter.
Das Problem: durch die Schwachstellen kann ein Angreifer vertrauliche Informationen, die zwischen einem Endgerät und einem WiFi Access Point ausgetauscht werden, einsehen. Dies aber nur, wenn der Angreifer sich auch geografisch in der Nähe von Endgerät und WiFi Access Point befindet.
Nur ungepatchte WiFi-Netzwerke, die die 802.11r-Funktionalität aktiviert haben, sind gefährdet.
Meraki hat eine Dashboard-Seite erstellt, mit der Kunden einfach und schnell identifizieren können, ob und welche ihrer Netzwerke betroffen sind. Navigieren Sie zu Help > 802.11r Vulnerability Impact. Diese Seite aktualisiert dynamisch den Status der Netzwerkanfälligkeit basierend auf der verwendeten Firmware, und ob 802.11r aktiviert ist.
Um festzustellen, ob 802.11r für ein bestimmtes Netzwerk ihrer Organisation aktiviert ist, navigieren Sie im Meraki Dashboard Wireless > Configure > Access Control und scrollen Sie zu Network Access:

802.11r list auf dieser Wireless SSID deaktiviert.
Wir bitten alle Kunden dringend, zu überprüfen, dass ihre Netzwerke entweder mit der neusten Firmwareversion* gepatcht wurden, oder 802.11r deaktiviert haben. Unsere Supportmitarbeiter stehen Ihnen bei Fragen oder Bedenken jederzeit gerne unter +49 404 01 19 9051 zur Verfügung.
Weitere Informationen über KRACK und zu unseren Updates finden Sie in unseren öffentlichen FAQs.
Technische Informationen finden Sie außerdem im Report des Cisco’s Product Security Incident Response Team (PSIRT).
* Die neueste, sichere Firmware-Version für die meisten MR-Modelle ist MR 24-11. Kunden, die MR33-, MR30H- oder MR74-Geräte einsetzen, sollten auf Firmware-Version MR 25-7 aktualisieren.
Verfasst von: Emily Sport.
Übersetzung: Nicolas Ziegler