| 概要 | The Wi-Fi Protected Setup (WPS) protocol, when the "external registrar" authentication method is used, does not properly inform clients about failed PIN authentication, which makes it easier for remote attackers to discover the PIN value, and consequently discover the Wi-Fi network password or reconfigure an access point, by reading EAP-NACK messages. |
|---|---|
| 公表日 | 2012年1月7日5:55 |
| 登録日 | 2021年1月28日16:40 |
| 最終更新日 | 2024年11月21日10:33 |
| CVSS2.0 : MEDIUM | |
| スコア | 5.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | いいえ |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:wi-fi:wifi_protected_setup_protocol:*:*:*:*:*:*:*:* | |||||
| タイトル | Wi-Fi Protected Setup (WPS) プロトコルにおける PIN 認証を破られる脆弱性 |
|---|---|
| 概要 | Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、ブルートフォース攻撃が容易になる問題が存在します。 また、複数の無線ルータにおいては、ブルートフォース攻撃に対応する機能がないため、攻撃がさらに容易になっています。 (2012年1月6日 - 追記) JPCERT/CC では、攻撃ツールが公開されていることを確認しています。 |
| 想定される影響 | 該当する機器にアクセス可能な第三者によって、EAP-NACK メッセージを読まれることにより、Wi-Fi ネットワークのパスワードを取得される可能性があります。 その結果、通信内容を傍受されたり、さらなる攻撃の足がかりにされたりする可能性があります。 |
| 対策 | [アップデートする] 開発者の提供する情報をもとに、最新版にアップデートしてください。 [ワークアラウンドを実施する] 対策が公開されるまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。 * 対象機器にて、WPS を無効にする |
| 公表日 | 2012年1月4日0:00 |
| 登録日 | 2012年1月4日14:20 |
| 最終更新日 | 2012年6月14日17:30 |
| 日本電気 |
| Aterm WM3400RN |
| WARPSTER (WPS 機能に対応した製品) |
| Wi-Fi Alliance |
| Wi-Fi Protected Setup Protocol |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年01月04日] 掲載 [2012年01月10日] タイトル:内容を更新 概要:内容を更新 CVSS による深刻度:基本値と脆弱性評価基準を追加 影響を受けるシステム:内容を更新 想定される影響:内容を更新 対策:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 [2012年06月14日] 影響を受けるシステム:日本電気 (NV12-007) の情報を追加 ベンダ情報:日本電気 (NV12-007) を追加 |
2018年2月17日10:37 |