Red-Mが1050 Access Pointで新たに発見された6つのバグの2つを修正 | ScanNetSecurity
2021.01.27(水)

Red-Mが1050 Access Pointで新たに発見された6つのバグの2つを修正

◆概要:  同1050APはEthernetネットワーク及びBluetooth 1.0/1.1-compatibleデバイスがIPネットワークアクセスを取得する間に存在するデバイスである。また、1050APは現在、piconet(multiple Bluetooth clients to one access point)をサポートする唯一のデバイスであ

国際 海外情報
◆概要:
 同1050APはEthernetネットワーク及びBluetooth 1.0/1.1-compatibleデバイスがIPネットワークアクセスを取得する間に存在するデバイスである。また、1050APは現在、piconet(multiple Bluetooth clients to one access point)をサポートする唯一のデバイスである。同製品に関するより詳しい情報は http://www.red-m.com/products/1050ap/Default.asp から利用可能。

以下の6つの脆弱性が存在する。
1. Management web server crash
2. Case insensitive passwords
3. TFTP server-based password attack
4. Management session state storage
5. Device existence broadcast
6. PPP crash

以下が各脆弱性に適用される。

1. 同1050APはリモートのデバイス設定を許可するウェブベースの管理インターフェース である。1050APは暗号化された接続によりパスワード配信することで保護される。同ウェブインターフェイスへ接続し、長い文字列の管理用パスワードを入力すると、更新ページに接続エラーが表示される。これにより、1050APはクラッシュする。Mitre社のCommon Vulnerabilities and Exposures (CVE) Projectは当該問題に登録番号CAN-2002-0393を割り当てている。

2. 同AP (administration password) は大文字と小文字を区別しない。この事実を考慮すると、パスワードの最長は16文字(aからzあるいは0から9の数字のみで構成される)であり、パスワードがクラックされる可能性は高い。当該CVE登録番号はCAN-2002-0394

3. 同APはTFTPサーバーと一緒にインストールでき、設定のバックアップおよびファームウェアのアップデートに使用される。APは使用不可にできないため、攻撃者は管理者パスワードをクラック可能である(前パラグラフで詳解)。これによりUDP主体の攻撃で重要な情報にアクセスできる。例えば、次のコマンドを実践し、タグを発見したパスワードに交換すれば、FLASH_Databaseのコンテンツを返すことができる。

tftp -i 192.168.1.1 get FLASH_Database-

当該CVE登録番号はCAN-2002-0395

4. ユーザーが同デバイスへログオンする時、クッキー、セッションID、そして基本認証データは現セッションの状態管理へはパスされない。代わりに、サーバーはセッション終了または、ログアウトボタンがクリックされるまで、正常なログオンの発生からIPアドレスを記憶する。尚、これはいくつかの手法で攻撃が可能である。
・ プロキシ経由のデバイス接続は同じプロキシを使用しているユーザーなら誰でも認証済の管理用インターフェースへの接続を許可する。
・ ファイアウォール経由のデバイス接続はNAT’d behind the same IP addressなら誰でも認証済の管理用インターフェースへの接続を許可する。

 これが事実であるならば、管理用パスワードを変更する時に、現在のパスワードを聞いてこないということは、攻撃者がこの脆弱性を悪用に成功して、管理者は、デバイスから締め出されることを意味する。当該CVE登録番号はCAN-2002-0396。

5. 1050APの名前は目標のネットワークのUDP ポート8887を調べれば簡単に検知できる。毎秒間隔くらいで、APの、現在の名前、IPアドレス、ネットマスク、シリアルナンバーおよびaerial addressを転送するブロードキャストが発生する。当該CVE登録番号はCAN-2002-0397。

6. 攻撃目標の1050APとつながっているユーザーなら誰でもPPPパスワード入力時に極端に長いユーザーネームをパスすればAPをクラッシュできる。その後の各接続実行は単純にダイアルアップ接続のダイアログボックス内部にエラーメッセージを表示する。当該CVE登録番号はCAN-2002-0398。


◆情報ソース:@stake Inc.
( http://www.atstake.com/research/advisories/2002/a060502-1.txt ), June 05, 2002

◆キーワード:Other: Wireless equipment

◆分析:
 (iDEFENSE米国)APというメカニズムが比較的、最近のものである事からセキュリティーに関連する脆弱性が発見されること自体珍しくない。AP経由で接続する全てのネットワークはセキュリティーを含むと考えた方が良い。上記で指摘されている脆弱性の対処としてはパケットをフィルタリングする機械をイーサネットとAPのインターフェース間に設置しホストコンピュータで出入する情報の管理を行うことを推奨する。ただし、当該方法でも依然としてワイアレス機器を使用する通信には脆弱であることを認識する必要がある。これらの攻撃を軽減するには危機管理マニュアルやセキュリティーポリシーなどにパスワード等、重要な情報の管理関して徹底することが効果的である。

◆検知方法:
次の設定の1050APが影響を受ける。
・ 1050AP boot, version 01.03.16
・ 1050AP loader, version 02.01.26
・ 1050AP software, version 02.00.26
・ 1050AP platform, basecard v00.00.01

◆ベンダー情報:
 2つのクラッシュがファームウェアの最新リリースで解決されており、 http://www.red-m.com/Products/Downloads/freefiles/1050AP_2_02_10.zip から入手可能。尚、未解決の構造問題は2002年8月にリリース予定のファームウェアで解決するとのこと。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:07 GMT、06、06、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×