JVNDB-2012-001001
|
Wi-Fi Protected Setup (WPS) プロトコルにおける PIN 認証を破られる脆弱性
|
|
Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、ブルートフォース攻撃が容易になる問題が存在します。
また、複数の無線ルータにおいては、ブルートフォース攻撃に対応する機能がないため、攻撃がさらに容易になっています。
(2012年1月6日 - 追記)
JPCERT/CC では、攻撃ツールが公開されていることを確認しています。
|
|
CVSS v2 による深刻度
基本値: 5.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
Wi-Fi Protected Setup (WPS) の PIN 認証を使用している製品 (Wi-Fi アクセスポイント) が影響を受ける可能性があります。
|
Wi-Fi Alliance
- Wi-Fi Protected Setup Protocol
日本電気
- Aterm WM3400RN
- WARPSTER (WPS 機能に対応した製品)
|
日本電気の製品に関しては、AtermWR8175N 以降の発売の製品には影響がありません。
詳細は、NV12-007 をご確認ください。
|
|
該当する機器にアクセス可能な第三者によって、EAP-NACK メッセージを読まれることにより、Wi-Fi ネットワークのパスワードを取得される可能性があります。
その結果、通信内容を傍受されたり、さらなる攻撃の足がかりにされたりする可能性があります。
|
|
[アップデートする]
開発者の提供する情報をもとに、最新版にアップデートしてください。
[ワークアラウンドを実施する]
対策が公開されるまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。
* 対象機器にて、WPS を無効にする
|
|
日本電気
|
|
- 不適切な認証(CWE-287) [NVD評価]
|
|
- CVE-2011-5053
|
|
- JVN : JVNVU#723755
- JVN : JVNTA12-006A
- National Vulnerability Database (NVD) : CVE-2011-5053
- US-CERT Vulnerability Note : VU#723755
- US-CERT Technical Cyber Security Alert : TA12-006A
- 関連文書 : Wi-Fi Protected Setup PIN brute force vulnerability
|
|
- [2012年01月04日]
掲載
[2012年01月10日]
タイトル:内容を更新
概要:内容を更新
CVSS による深刻度:基本値と脆弱性評価基準を追加
影響を受けるシステム:内容を更新
想定される影響:内容を更新
対策:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
[2012年06月14日]
影響を受けるシステム:日本電気 (NV12-007) の情報を追加
ベンダ情報:日本電気 (NV12-007) を追加
|
