KRACK 공격 추가 정보
11월 LifeGuard 업데이트로 해결된 KRACK 취약점.
KRACK 공격이란?
KRACK(키 재설치 공격)은 WPA 및 WPA2 Wi-Fi 프로토콜의 표준 구현에 영향을 주는 보안 취약점입니다. 안드로이드와 마이크로 소프트 모두 Zebra 제품이 영향을받습니다.
이러한 취약점을 통해 WPA/WPA2 암호화로 보호되는 연결을 통해 Wi-Fi 패킷에 액세스하고 변조할 수 있습니다(클라이언트 장치와 액세스 지점 모두의 Wi-Fi 범위 내에서). 그러나 공격자는 SSL/TLS(예: https)와 같은 상위 계층 프로토콜에 의해 보호되는 패킷을 읽거나 변조할 수 없습니다. 공격자가 취약점을 악용하려면 여러 조건을 충족해야 합니다. 그런 다음 공격자는 대상 컴퓨터와 무선 액세스 지점 간의 트래픽을 가로채기 위해 중간자(MitM) 공격을 실행해야 합니다. 공격자는 클라이언트-AP 트래픽의 암호를 해독할 수 있지만 공격자는 WPA2-AES 세션에 임의의 트래픽을 삽입할 수 없으며 인증 토큰이나 키를 얻을 수 없습니다. 이 문제의 활성 사용자 착취 또는 남용에 대한 보고는 없었습니다.
어떤 제품이 영향을 받는가요?
KRACK은 컴퓨터, 휴대폰 및 Android 및 Windows 운영 체제를 모두 실행하는 기타 IoT 장치에 영향을 줄 수 있습니다. 기기에서 Wi-Fi를 지원하는 경우 영향을 받을 가능성이 큽입니다.
Zebra는 무엇을 권장하나요?
Zebra는 정기적인 소프트웨어 유지 관리 프로그램을 개발하고 유지 관리하도록 고객 업데이트를 권장합니다. Zebra는 운영 체제 및 프로세서 공급업체와 적극적으로 협력하여 적시에 수정을 제공하고 있습니다.
장치 특정 업데이트 유령 및 멜트다운 보안 취약점 페이지에서 사용할 수 있습니다. 장치가 해당 페이지에 나열되지 않은 경우 기술 지원에 문의하십시오.
업데이트를 즉시 설치할 수 없습니다. 어떤 단계를 수행 할 수 있습니까?
패치 가 아닌 수정
- 802.11r을 사용하지 않도록 설정하면 하나의 취약점 소스(802.11r 로밍이라고도 함)를 제거하여 공격을 완화할 수 있습니다.
- 불량 액세스 포인트 감지를 사용하여 MitM 공격으로 인한 위험을 완화합니다. 핸드셰이크 메시지(3)의 재시도를 허용하려면 제4회 EAPOL 메시지(핸드셰이크의 일부)를 가로채/방지해야 하기 때문에 MitM 공격이 사전에 요구된다. 즉, 공격자는 액세스 포인트의 MAC을 스푸치해야 합니다.
업데이트를 다운로드하기 위해 Zebra.com 로그인하라는 메시지가 표시됩니다.
모바일 컴퓨터 및 스캐너의 경우 유효한 보증 또는 서비스 계약을 체결한 등록된 Zebra.com 사용자에게 업데이트를 사용할 수 있습니다.
프린터의 경우 등록된 Zebra.com 사용자가 펌웨어 업데이트를 사용할 수 있습니다.
모바일 컴퓨터 또는 스캐너에는 유효한 보증 또는 서비스 계약이 적용되지 않습니다. 어떤 단계를 수행 할 수 있습니까?
- 위의 패치 적용 불가 수정을 참조하십시오.
- 단기 계약 구매에 대한 자세한 내용은 기술 지원에 문의하십시오.
zebra.com 로그인했습니다. KRACK 보안 취약점에 대한 업데이트를 다운로드할 수 없는 이유는 무엇입니까?
모바일 컴퓨터 및 스캐너의 경우 장치에 유효한 보증 또는 서비스 계약이 있어야 합니다. 유효한 보증 또는 서비스 계약이 없는 경우 업데이트를 다운로드할 수 없습니다. 추가 옵션은 위의 질문을 참조하십시오.
유효한 보증 또는 서비스 계약이 있고 다운로드가 실패한 경우 Zebra 기술 지원 지원 데스크에 문의하십시오.
프린터 펌웨어 다운로드 실패는 Zebra 기술 지원 도움말 데스크에 문의하십시오.
면책 조항: Zebra는 Google에서 해당 보안 공지를 릴리스하는 시점에 대한 보안 업데이트를 릴리스하려고 모든 시도를 합니다. 그러나 보안 업데이트의 배달 시간은 지역, 제품 모델 및 타사 소프트웨어 공급업체에 따라 달라질 수 있습니다. 경우에 따라 보안 업데이트를 설치하기 전에 OS를 최신 유지 관리 릴리스로 업데이트해야 합니다. 개별 제품 업데이트는 구체적인 지침을 제공합니다.
달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.
Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?