ソフトウェア・インテグリティ

 

[CyRC脆弱性勧告]複数のWiFiルーターのチップセットにおける認証バイパスの脆弱性(CVE-2019-18989、CVE-2019-18990およびCVE-2019-18991)

CyRC(Synopsys Cybersecurity Research Center )によるCVE-2019-18989、CVE-2019-18990およびCVE-2019-18991の解析レポートです。

概要

CVE-2019-18989、CVE-2019-18990および CVE-2019-18991 では、記載されているメーカーのさまざまなデバイスの次のチップセットに影響を与える部分的な認証バイパスの脆弱性を参照しています。

  • Mediatek:
    • チップセット:MT7620N
    • 検証された機器:D-Link DWR-116 V1.06(EU)
  • Qualcomm (Atheros):
    • チップセット:AR9132
    • 検証された機器:Zyxel NBG460N V3.60(AMX.8)
    • チップセット:AR9283
    • 検証された機器:Buffalo WHR-G300N V2 V1.85 (R1.18/B1.03)
    • チップセット:AR9285
    • 検証された機器:Netgear WNR1000 V.1.0.0.12NA
  • Realtek:
    • チップセット:RTL8812AR
    • 検証されたた機器:D-Link DIR-850L V1.21WW
    • チップセット:RTL8196D
    • 検証されたた機器:Netwjork N+4G V1.0.0
    • チップセット:RTL8881AN
    • 検証されたた機器:D-Link DIR-809 Rev A3 V1.09 Rev A2
    • チップセット:RTL8192ER
    • 検証されたた機器:D-Link DIR-605L H/W: B2 V2.10

注:シノプシスは、脆弱なデバイスとチップセットの包括的なリストを特定できませんでした。 脆弱なチップセットは、Synopsysが取得できなかった他の機器に組み込まれている可能性があります。

シノプシスは、各メーカーとの開示を完了した後、以下の回答を確認しています。

  • MediatekおよびRealtek:パッチはリクエストに応じて利用できるようになります。
  • Qualcomm (Atheros):当該チップセットはすべてサポートを終了しており、製造中止になっています。 現在サポートされているチップセットはすべて、この脆弱性の影響を受けないことが製造元によって確認されています。

シノプシスでは、この脆弱性情報の開示に伴い、検証された機器のすべてのメーカーに問い合わせをしました。 その結果、Zyxelからのみ応答を受け取りました。 なお、Mediatekは、開示プロセス中にこの問題についてD-Linkに通知しました。 D-LinkとZyxelのいずれからも、修正されたパッチが存在しており利用可能であることを確認済みです。

影響

この脆弱性により、攻撃者は事前共有キーを知らなくても、WPA2で保護されたネットワークにパケットを挿入できます。 インジェクション時に、これらのパケットは有効なパケットと同じようにネットワークを介してルーティングされ、インジェクションされたパケットへの応答は暗号化されて返されます。 ただし、攻撃者はネットワークを介して送信される内容を制御できるため、注入されたパケットがアクティブなシステムに正常に到達したかどうかを最終的に確認することができます。

たとえば、概念実証として、シノプシスの研究者は、脆弱なWPA2で保護されたネットワークにUDPパケットを挿入することにより、ルーターのNATでUDPポートを開くことができました。 パケットはパブリックインターネットを経由してルーティングされ、最終的には、定義されたUDPポートでリッスンしている攻撃者が制御するホストによって受信されます。 この応答を受信した後、攻撃者が制御するホストは、この開いたUDPポートを使用して、脆弱なネットワークに通信し直すことができます。

  • CVSSv3 overall score: 6.1
  • CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
  • CWE-287

技術的な詳細

攻撃者は、暗号化されていないパケットを任意に送信し、暗号化された応答を受信できます。 これらの暗号化されていないパケットは、スプーフィングされたMACアドレスから送信されます。 脆弱なアクセスポイントは、プレーンテキストパケットをドロップせず、有効であるかのようにネットワークにルーティングします。 応答も受信されますが、それは暗号化されています。 唯一の要件は、WPA2ネットワークに接続された別の適切に認証されたクライアントがあることです。

修正措置

当該チップセットを使用したアクセスポイントの開発元は、MediatekおよびRealtekにパッチを要求できます。

当該チップセットとファームウェア・バージョンを含むアクセスポイントを持つエンドユーザーは、できるだけ早くアップグレードするか、脆弱なアクセスポイントを別のアクセスポイントに交換することを強くお勧めします。

発見者

フィンランド、オウルの Synopsys Cybersecurity Research Center (CyRC) の研究員が、Defensicsの 802.11 WPA AP テストスイートを用いてこの脆弱性を発見しました:

  • Tuomo Untinen
  • Kari Hulkko

タイムライン

  • Realtek:
    • 最初の開示日:2019年3月8日
    • Realtekが修正を確認した日付:2019年9月19日
    • Realtekが要求に応じて修正を提供することを確認した日付:2019年10月18日
  • Qualcomm (Atheros):
    • 最初の開示日:2019年4月29日
    • Qualcomm (Atheros) がリスクの受容を表明した日付:2019年10月8日
    • Qualcomm (Atheros) が現在サポートされているバージョンが影響を受けないことを確認した日付:2019年10月29日
  • Mediatek:
    • 最初の開示日:2019年7月8日
    • Mediatekが修正を確認した日付:2019年9月25日
    • Mediatekが、D-Linkによってパッチが作成されたことを確認した日付:2019年11月7日
  • Zyxel:
    • 最初にやりとりを行った日付:2019年11月19日
    • 最初の開示日:2019年11月22日
    • Zyxelが修正の作成を確認した日付:2020年2月3日
  • そのほかのアクセスポイントの製造者:
    • 最初にやりとりを行った日付:2019年11月19日
    • 継続したやりとりを行った日付:2020年1月7日

公開した日付:2020年9月28日

 

この著者によるその他の情報