ニュース
23億人のユーザーが影響を受ける可能性 Wi-Fiソフトウェアに2つの脆弱性:セキュリティニュースアラート
Top10VPNはOSSのWi-Fiソフトウェアに新たな2つの脆弱性があると報じた。この脆弱性はエンタープライズと自宅のWi-Fiネットワークに影響を与えるとされている。
独立系VPNレビュー・比較サイトである『Top10VPN』は2024年2月13日(現地時間)、オープンソースのWi-Fiソフトウェアに2つの新しい脆弱(ぜいじゃく)性が見つかったと報じた。
そのうちの一つは社内のWi-Fiネットワークに接続するデバイスに影響を与え、もう一つは自宅のWi-Fiに影響を与える可能性がある。
全世界の23億人のユーザーが影響を受ける恐れ 脆弱性の詳細は?
脆弱性の詳細は以下の通りだ。
- CVE-2023-52160: 「wpa_supplicant」のv2.10およびこれ以前のバージョンに存在する脆弱性。このソフトウェアは「Android」においてワイヤレスネットワークへのログイン要求を処理するために使われるデフォルトのソフトウェアであり、全世界で23億人のAndroidユーザーが影響を受ける可能性がある。さらに、ほとんどの「Linux」デバイスおよび「Chromebook」もこのソフトウェアを搭載している。脆弱性自体は認証サーバの証明書を検証するように適切に構成されていないWi-Fiクライアントにのみ影響する。最近の調査結果によると、影響を受けるデバイスは特にこれが頻繁に発生することが示されている
- CVE-2023-52161: 「iwd」のv2.13およびこれより以前のバージョンに存在する脆弱性。iwdはIntelによって開発されたLinux専用のWi-Fiソフトウェアであり、Linuxの包括的な接続ソリューションとしてパッケージ管理システムなどからインストールして利用できる。影響を受けるユーザーはCVE-2023-52160よりも少ないが、この脆弱性はiwdをアクセスポイントとして使用する全てのユーザーが影響を受ける
脆弱性によって悪用が懸念されるネットワークは以下の通りだ。
- CVE-2023-52160: エンタープライズモードに存在する相互認証プロセスの悪用に関連した脆弱性であり、WPA2/3のエンタープライズモードを使っているWi-Fiネットワークが影響を受ける
- CVE-2023-52161: 家庭用Wi-Fiネットワークが影響を受ける
これらの脆弱性を悪用された場合、以下の攻撃を受ける可能性がある。
- 機密データの傍受
- マルウェアへの感染
- ランサムウェア攻撃
- ビジネスメール詐欺(BEC)
- パスワード窃取
Top10VPNはサイバー攻撃の被害者とならないためにソフトウェアアップデートを推奨している。ただし、Androidユーザーに関しては修正を含むパッチが提供されるまでに数カ月から数年という長い時間がかかる可能性があるとし、それまでの間、保存されているエンタープライズネットワークのCA証明書を手動で構成することが推奨される。
関連記事
- Windows 11に複数の新機能、新Bingのタスクバー統合やiPhoneとの連携を強化
MicrosoftはWindows 11の新機能を発表した。AIを利用した新しいMicrosoft Bingがタスクバーに統合される他、ユーザーからの要望が多かった機能が実装される予定だ。 - CrowdStrikeとDellが戦略的提携を発表 ビジネスPCのセキュリティを強化
CrowdStrikeとDell Technologiesは新たな戦略的提携を発表した。サイバーセキュリティ分野における協業であり、CrowdStrikeが提供するサイバーセキュリティソリューションをDellの顧客が利用できるようになる。 - 生成AIを組み込んだ新しいBing、オープンプレビュー版が提供開始
2023年2月に、検索サービス「Microsoft Bing」に「ChatGPT」の技術が使われたことで話題となったが、そのオープンプレビュー版の提供が始まった。順番待ちリストへの登録も必要なくなった。 - デルとクラウドストライクがセキュリティを向上させるサービスを発表
デルはサイバーセキュリティソフトウェア「Dell SafeGuard and Response with CrowdStrike」の提供開始を発表した。法人向けPCのコンポーネント完全性確認サービスの展開も伝えている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.