「Dragonblood: Analysing WPA3's Dragonfly Handshake」において、WPA3に関する新たな脆弱性が報告されています。
Dragonblood: Analysing WPA3's Dragonfly Handshake
スポンサーリンク
今回の脆弱性は2019年4月に公表されたものと同じくMathy Vanhoef・Eyal Ronen両氏によって報告されており、CVE-2019-13377とCVE-2019-13456の2つのCVEが発行されています。
(8月3日時点ではどちらもNIST National Vulnerability Databaseには内容が掲載されていません)
CVE-2019-13377はWPA3-SAEのハンドシェイク(『Dragonfly』)に"Brainpool"楕円曲線暗号を使用する際のサイドチャネル攻撃に関する脆弱性、CVE-2019-13456は「FreeRADIUS」におけるEAP-pwdの実装に関する脆弱性となっており、脆弱性を使用し取得した情報から総当たり攻撃によってパスワードを割り出す事が可能とされています。
We confirmed the new Brainpool leak in practice against the lastest Hostapd version, and were able to brute-force the password using the leaked information.
https://wpa3.mathyvanhoef.com/
8月3日現在、Wi-Fi Allianceから本件についての正式なアナウンスはありません。
