ITmedia NEWS >
速報
» 2004年04月09日 08時23分 公開

Cisco製無線LAN製品の脆弱性実証コード公開

Ciscoの脆弱性を利用して、ユーザーパスワードに対してオフラインの辞書攻撃を仕掛けることで、Cisco LEAPネットワークに侵入できるツールが公開された。

[ITmedia]

 昨年夏、米Cisco Systemsの無線LANプロトコルの脆弱性を同社に通報したと称する人物が4月7日、セキュリティメーリングリストのBugtraqで脆弱性実証コードを公開した。

 ジョシュア・ライトと名乗るこの人物はBugtraqへの投稿の中で、「私はCisco LEAP認証プロトコルの脆弱性を実証するため、Linux用のasleapというツールを開発した。このツールを使うと攻撃者は、ユーザーパスワードに対してオフラインの辞書攻撃を仕掛けることで、Cisco LEAPネットワークに侵入できる。私のテストでは、膨大な辞書ファイルを短時間に検索し、ユーザーパスワードを見つけ出すことができた(貧弱なハードで毎秒4500万のパスワード)」と記している。

 同氏によれば、昨年8月、このツールをCiscoに送ったところ、6カ月間は公開を控えてほしいと要請され、今年1月になって、LEAPプロトコルに代わるEAP-FASTプロトコルのテストを完了するまでさらに数カ月待つよう頼まれたという。

 同氏はCiscoと相談の上で「asleap v1.0」のソースを公開すると宣言、LEAPユーザーに対し、これを使って無線LANのセキュリティ保護にLEAPを使うことの危険性を評価してほしいと呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.