| Summary | The Wi-Fi Protected Setup (WPS) protocol, when the "external registrar" authentication method is used, does not properly inform clients about failed PIN authentication, which makes it easier for remote attackers to discover the PIN value, and consequently discover the Wi-Fi network password or reconfigure an access point, by reading EAP-NACK messages. |
|---|---|
| Publication Date | Jan. 7, 2012, 5:55 a.m. |
| Registration Date | Jan. 28, 2021, 4:40 p.m. |
| Last Update | Nov. 21, 2024, 10:33 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 5.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:wi-fi:wifi_protected_setup_protocol:*:*:*:*:*:*:*:* | |||||
| Title | Wi-Fi Protected Setup (WPS) プロトコルにおける PIN 認証を破られる脆弱性 |
|---|---|
| Summary | Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、ブルートフォース攻撃が容易になる問題が存在します。 また、複数の無線ルータにおいては、ブルートフォース攻撃に対応する機能がないため、攻撃がさらに容易になっています。 (2012年1月6日 - 追記) JPCERT/CC では、攻撃ツールが公開されていることを確認しています。 |
| Possible impacts | 該当する機器にアクセス可能な第三者によって、EAP-NACK メッセージを読まれることにより、Wi-Fi ネットワークのパスワードを取得される可能性があります。 その結果、通信内容を傍受されたり、さらなる攻撃の足がかりにされたりする可能性があります。 |
| Solution | [アップデートする] 開発者の提供する情報をもとに、最新版にアップデートしてください。 [ワークアラウンドを実施する] 対策が公開されるまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。 * 対象機器にて、WPS を無効にする |
| Publication Date | Jan. 4, 2012, midnight |
| Registration Date | Jan. 4, 2012, 2:20 p.m. |
| Last Update | June 14, 2012, 5:30 p.m. |
| 日本電気 |
| Aterm WM3400RN |
| WARPSTER (WPS 機能に対応した製品) |
| Wi-Fi Alliance |
| Wi-Fi Protected Setup Protocol |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年01月04日] 掲載 [2012年01月10日] タイトル:内容を更新 概要:内容を更新 CVSS による深刻度:基本値と脆弱性評価基準を追加 影響を受けるシステム:内容を更新 想定される影響:内容を更新 対策:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 [2012年06月14日] 影響を受けるシステム:日本電気 (NV12-007) の情報を追加 ベンダ情報:日本電気 (NV12-007) を追加 |
Feb. 17, 2018, 10:37 a.m. |