JVNVU#99594334
Bluetooth コア仕様およびメッシュ仕様に複数の脆弱性
Bluetooth コア仕様およびメッシュ仕様に対して、複数の脆弱性が報告されています。
CVE-2020-26558
- BR/EDR Secure Simple Pairing (SSP) コア仕様 2.1 から 5.2 までに対応する機器
- BR/EDR Secure Connections (SC) コア仕様 4.1 から 5.2 までに対応する機器
- BLE Secure Connections (LESC) コア仕様 4.2 から 5.2 までに対応する機器
- BR/EDR Secure Simple Pairing (SSP) コア仕様 1.0B から 5.2 までに対応する機器
- Bluetooth メッシュプロファイル仕様 1.0 から 1.0.1 までに対応する機器
Bluetooth BR/EDR (Basic Rate/Enhanced Data Rate) と Bluetooth Low Energy (BLE) はそれぞれ Bluetooth を構成しているコア仕様の一部であり、低出力の近距離通信に使用されます。Bluetooth で2つの機器が通信を行うためには Secure Simple Pairing (SSP) または (Low Energy) Secure Connection (SC / LESC) 方式を用いてペアリングを行い、接続を確立する必要があります。これらのペアリング処理には、機器の機能情報の交換や公開鍵の交換のほか、認証を行う際のアソシエーションモデル (Association Model) のネゴシエーションも含まれています。
Bluetooth BR/EDR (Basic Rate/Enhanced Data Rate) 仕様および Bluetooth Low Energy (BLE) 仕様には次の脆弱性が報告されています。
- パスキーエントリープロトコルを利用したなりすまし - CVE-2020-26558
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 4.6 - ピンコードペアリングを利用したなりすまし - CVE-2020-26555
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値: 5.4 - LE レガシーペアリングを利用したなりすまし
Bluetooth メッシュ仕様に基づく Bluetooth mesh は多対多 (m:m) 間のデバイス通信を可能にし、大規模なデバイスネットワークの構築に最適化されたネットワークです。Bluetooth mesh ネットワークにある一つ一つのデバイスをノード (Node) と呼び、ノードからノードへとメッセージを中継していくことで通信が行われます。
Bluetooth mesh ネットワークのメッセージは、NetKey や AppKey を使用して暗号化、認証することで保護されています。NetKey はネットワーク層の通信で使用されます。AppKey はアプリケーションデータに使用します。ネットワーク内のノードには、アクセス制限を必要とする機密データを扱うアプリケーションを持つものがあります。このようなノードは特定の AppKey を持ち、特定のアプリケーションに関連付けられています。
Bluetooth mesh ネットワークのノードはすべて、NetKey を持っています。デバイスが Bluetooth mesh ネットワークに参加し、NetKey を持つための手続きをプロビジョニングと呼びます。プロビジョニングを実行するデバイスをプロビジョナーと呼び、プロビジョニングプロトコルを使用して通信を行います。
メッシュ仕様には次の脆弱性が報告されています。
- メッシュプロビジョニングを利用したなりすまし - CVE-2020-26560
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値: 5.5 - 不適切な AuthValue の利用による AuthValue の特定 - CVE-2020-26557
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値: 5.5 - ブルートフォース攻撃による AuthValue の特定 - CVE-2020-26556
CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値: 4.6 - 取得可能な値を利用した AuthValue の特定 - CVE-2020-26559
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値: 5.5
想定される影響は各脆弱性により異なりますが、Bluetooth の電波到達範囲に居る攻撃者によって、次のような影響を受ける可能性があります。
- 中間者攻撃によりパスキーを特定され、 ペアリングする機器の一方になりすまされる - CVE-2020-26558
- 被害者の Bluetooth Device Address (BD_ADDR) に偽装し、ピンコードなしにペアリングを完了される - CVE-2020-26555
- LE Legacy ペアリングにおいて、一時キー (TK) を取得していなくても認証フェーズの一部を完了される
- AuthValue を保有するかのようにプロビジョナーに見せかけることで、NetKey および AppKey を発行させる - CVE-2020-26560
- AuthValue が固定であったり、選択が予測可能であったり、エントロピーが不十分であったりする場合に、ブルートフォース攻撃で AuthValue を特定される - CVE-2020-26557
- プロビジョニング処理がタイムアウトする前にブルートフォース攻撃でAuthValueを特定され、NetKey を計算される - CVE-2020-26556
- プロビジョナーの公開鍵、プロビジョニング確認値、プロビジョニングランダム値、プロビジョニング手順で使用する公開鍵を利用され、AuthValueを計算される - CVE-2020-26559
Bluetooth SIG のステートメントを参照する
Bluetooth SIG が公表している各脆弱性に対するステートメントの内容を参考にしてください。
また、Bluetooth 機器を組み込んだ製品を開発している開発者は、Bluetooth 機器のサプライヤが提供する情報も合わせて参照してください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| NTT-CERT | 該当製品無し | 2021/05/26 | |
| TDK 株式会社 | 該当製品無し | 2021/05/26 | |
| オムロン株式会社 | 脆弱性情報提供済み | 2021/05/26 | |
| ソニー株式会社 | 脆弱性情報提供済み | 2021/05/26 | |
| ブラザー工業株式会社 | 脆弱性情報提供済み | 2021/05/26 | |
| 住友電気工業株式会社 | 該当製品あり | 2021/06/14 | |
| 富士通株式会社 | 該当製品無し | 2021/05/26 | |
| 東芝デバイス&ストレージ株式会社 | 該当製品あり(調査中) | 2021/05/26 | |
| 東芝デベロップメントエンジニアリング株式会社 | 該当製品無し | 2021/05/26 | |
| 株式会社JVCケンウッド | 脆弱性情報提供済み | 2021/05/26 | |
| 株式会社デンソーウェーブ | 脆弱性情報提供済み | 2021/05/26 | |
| 株式会社リコー | 脆弱性情報提供済み | 2021/05/26 | |
| 楽天モバイル株式会社 | 該当製品無し | 2021/05/26 |
-
CERT/CC Vulnerability Note VU#799380
Devices supporting Bluetooth Core and Mesh Specifications are vulnerable to impersonation attacks and AuthValue disclosure -
Daniele Antonioli
BIAS: Bluetooth Impersonation AttackS -
Japan Vulnerability Notes: JVNVU#99179288
Bluetooth BR/EDR 対応機器に対するなりすまし攻撃手法 (BIAS)
- 2021/06/14
- 住友電気工業株式会社のベンダステータスが更新されました
