FreeBSD: wpa_supplicant -- 認証されていない暗号化されたEAPOL-Keyデータ（6bedc863-9fbe-11e8-945f-206a8a720317）

high Nessus プラグイン ID 111720

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

SO-AND-SO による報告：

wpa_supplicantがEAPOL-Keyフレームを処理する方法に脆弱性が見つかりました。攻撃者が、フレーム内の有効なMIC値を必要とせずに、つまりフレームを認証せずに、wpa_supplicantにKey Dataフィールドを復号させる方法で、フレームを変更する可能性があります。これには、WPA2/RSNスタイルのEAPOL-Key構造が、ペアワイズ暗号としてネゴシエートされたTKIPで使用される場合に、潜在的な問題があります。注意: WPA2は、TKIPとともにペアワイズ暗号として使用されることは想定されていません。代わりに、CCMPが使用されることが期待されており、そのペアワイズ暗号では、この脆弱性は実際には適用されません。

TKIPがペアワイズ暗号としてネゴシエートされる場合、EAPOL-Key Key DataフィールドはRC4を使用して暗号化されます。この脆弱性により、認証されていないEAPOL-Keyフレームが処理される可能性があります。また、RC4デザインにより、攻撃者がコンテンツを知らなくてもビット単位のXOR操作で平文バージョンのKey Dataフィールドを変更する可能性があります。これは、ステーションでGTK/IGTKを変更することで（攻撃者がキーを学習せずに）、サービス拒否攻撃を引き起こすために使用される可能性があります。これにより、受信したグループアドレスフレームをステーションが受け入れることができなくなります。さらに、wpa_supplicantを復号化オラクルとして機能させ、キーデータペイロード（GTK/IGTK）の一部を復元してグループ暗号化キーの知識を取得させることで、これが悪用される可能性があります。

グループ暗号化キーを完全に復元するには、複数の試行（オクテットあたり128回の接続試行）が必要であり、4ウェイハンドシェイクの完了に失敗するため、試行ごとに接続が切断されます。これらの障害により、AP/ネットワークが一時的にまたは恒久的に（再び有効にするためのユーザーアクションを必要とする）無効になり、APがグループキーを変更する前にキーを復元する攻撃を実行することが非実用的になる可能性があります。デフォルトでは、wpa_supplicantは、失敗した各接続試行の間に少なくとも10秒の待機時間を強制します。つまり、TKIPを使用する際にhostapd AP実装が10分のデフォルトをGTKキー更新に使用するのに対して、各オクテットの回復を20分以上待機します。このようなタイミングの挙動では、GTKから十分な情報を復元して変更前にキーを判断できるようにするには、実際の攻撃には多数の影響を受けるステーションが同じAPに接続しようとする必要があります。