WPA3に新たな脆弱性が発見される

ニュース

「Dragonblood: Analysing WPA3’s Dragonfly Handshake」において、WPA3に関する新たな脆弱性が報告されています。

Dragonblood: Analysing WPA3’s Dragonfly Handshake

スポンサーリンク

今回の脆弱性は2019年4月に公表されたものと同じくMathy Vanhoef・Eyal Ronen両氏によって報告されており、CVE-2019-13377CVE-2019-13456の2つのCVEが発行されています。
(8月3日時点ではどちらもNIST National Vulnerability Databaseには内容が掲載されていません)

NVD – CVE-2019-13377

NVD – CVE-2019-13456

CVE-2019-13377はWPA3-SAEのハンドシェイク(『Dragonfly』)に”Brainpool”楕円曲線暗号を使用する際のサイドチャネル攻撃に関する脆弱性、CVE-2019-13456は「FreeRADIUS」におけるEAP-pwdの実装に関する脆弱性となっており、脆弱性を使用し取得した情報から総当たり攻撃によってパスワードを割り出す事が可能とされています。

We confirmed the new Brainpool leak in practice against the lastest Hostapd version, and were able to brute-force the password using the leaked information.

https://wpa3.mathyvanhoef.com/

8月3日現在、Wi-Fi Allianceから本件についての正式なアナウンスはありません。

コメント