Wireshark Vulnerabilities Let Attackers Crash by Injecting a Malformed Packet
2025/11/24 CyberSecurityNews — Wireshark Foundation が公開したのは、広く利用されているネットワーク・プロトコル・アナライザーに存在する脆弱性へのセキュリティ・アップデートである。このアップデートは、サービス拒否 (DoS) につながる可能性のある、複数の脆弱性に対処している。最新リリースであるバージョン 4.6.1 は、Bundle Protocol バージョン 7 (BPv7) および Kafka のディセクタに発見された脆弱性に対処するものである。これらの脆弱性が修正されないまま放置されると、ネットワーク・ストリームまたはトレース・ファイルに悪意のあるデータを挿入する攻撃者は、アプリケーションを強制的にクラッシュさせることが可能になる。
ディセクタのクラッシュによるサービス拒否 (DoS)
最新のセキュリティ・アドバイザリの中核は、特定のネットワーク・プロトコルが Wireshark で解析される方法に焦点を当てるものだ。セキュリティ研究者たちが発見したのは、BPv7 ディセクタに存在する深刻な脆弱性 (wnpa-sec-2025-05 として追跡) である。この脆弱性はバージョン 4.6.0 に影響する。
その一方で、Kafka ディセクタ (wnpa-sec-2025-06) で発見された同様の脆弱性は、バージョン 4.6.0 および 4.4.0〜4.4.10 までの 4.4.x ブランチに影響を及ぼすものだ。
| Advisory ID | Component | Vulnerability Type | Impact | Affected Versions | Fixed Version |
|---|---|---|---|---|---|
| wnpa-sec-2025-05 | BPv7 Dissector | NULL Pointer Dereference / Crash | Denial of Service (DoS) | 4.6.0 | 4.6.1 |
| wnpa-sec-2025-06 | Kafka Dissector | Memory Corruption / Crash | Denial of Service (DoS) | 4.6.0, 4.4.0 – 4.4.10 | 4.6.1, 4.4.11 |
どちらのシナリオでも、悪用のメカニズムは不正なパケットの挿入が伴うものである。したがって攻撃者は、Wireshark が監視している稼働中のネットワーク・インターフェイスに特別に細工したパケットを送信するか、侵害されたパケット・トレース・ファイルを、標的とするアナリストが開くよう仕向けることでクラッシュを引き起こせる。
これらの問題を Wireshark チームが発見したのは、社内テスト中であるという。現時点において、実際の悪用事例は確認されていないが、このツールを継続的な監視に活用する SOC のメンバーやネットワーク管理者に、混乱が生じる可能性は高いとされる。
主要なセキュリティ・パッチに加えて、このメンテナンス・リリースでは、プロトコル分析を妨げていた各種の安定性に関する問題が解決されている。再送モードを正しく解釈できなかった L2CAP 解析ツールと、PK アルゴリズムを誤って HIT 長として分類していた DNS HIP 解析ツールに対して、重要な修正が適用された。
さらに開発チームは、Lua プラグインにより引き起こされる TShark のクラッシュに対処し、メッセージを選択する際にアプリケーションが停止するという問題を解決した。
その他の改善点としては、TCP ディセクタの修正/無効なパケットダイアグラム作成の修正/LZ4 圧縮出力ファイルの書き込みエラーの修正などがある。また、複雑なネットワーク環境で作業するユーザーにとっては、プラグイン・ビルド時の “endian.h” と “libc” との間の競合が解決されたことでメリットがもたらされる。
このアップデートにより、UDP ポート 853 が QUIC (DoQ) として正しくデコードされるようになり、バージョン 4.6.0 と互換性がなかった Omnipeek ファイルの機能が復元される。
| Issue ID | Component | Description |
|---|---|---|
| Issue 2241 | L2CAP Dissector | Corrected logic; the dissector now properly understands retransmission mode. |
| Issue 20768 | DNS HIP Dissector | Fixed a labeling error where the PK algorithm was incorrectly identified as HIT length. |
| Issue 20776 | Build System | Resolved aclang-clcompilation error inpacket-zbee-direct.c. |
| Issue 20779 | File I/O | Addressed a failure when writing to an LZ4-compressed output file. |
| Issue 20786 | Plugins | Fixed a conflict betweenendian.handlibcwhen building plugins. |
| Issue 20794 | TShark | Resolved a crash caused by Lua plugins. |
| Issue 20797 | UI Performance | Fixed an issue where Wireshark stalled for several seconds when selecting specific messages. |
| Issue 20802 | TLS Dissector | Corrected handling of TLS Abbreviated Handshakes using New Session Tickets. |
| Issue 20803 | WebSocket | Fixed a bug where custom WebSocket dissectors failed to run. |
| Issue 20813 | DCERPC Dissector | Resolved a dissector bug inpacket-dcerpc.ctriggered byWINREG QueryValue. |
| Issue 20817 | Lua API | Fixed a crash inFileHandlerwhen reading packets. |
| Issue 20818 | Filter Engine | FixedApply As FilterforFT_NONE/BASE_NONEfields (single byte) to correctly use hex values. |
| Issue 20819 | UI Layout | Resolved a problem in “Pane 3” preference layout when selecting “Packet Diagram” or “None”. |
| Issue 20820 | TCP Dissector | Fixed the creation of invalid packet diagrams. |
| Issue 20831 | File Format | Fixed an issue with too many nested VLAN tags when opening as File Format. |
| Issue 20842 | File Support | Restored support for Omnipeek files, which was broken in version 4.6.0. |
| Issue 20845 | IsoBus Dissector | Added support for UTF-16 strings in string operations. |
| Issue 20849 | SNMP Dissector | Corrected filtering forgetBulkRequestrequest-IDs. |
| Issue 20852 | Fuzz Testing | Addressed a specific fuzz job issue (fuzz-2025-11-12-12064814316.pcap). |
| Issue 20856 | QUIC/DoQ | Ensure UDP Port 853 (DoQ) is correctly decoded as QUIC. |
ネットワーク管理者とセキュリティ・アナリストにとって必要なことは、Wireshark 4.6.1/4.4.11 へのアップグレードを優先することだ。このアップデートは、Wireshark Foundation の Web サイトから直接ダウンロードできる。また、Linux/Unix ディストリビューションの各パッケージ・マネージャーからダウンロードすることも可能である。
Wireshark の内部で特定プロトコルを解析するディセクタが誤った入力に対応できず、クラッシュを引き起こすという問題が対処されました。ディセクタはネットワークの細かい構造を読み解く重要な部分であり、ここに NULL 参照やメモリ破損が起きると、監視作業が突然止まってしまいます。特別な操作をしなくても、細工されたパケットや不正なトレースを開くだけで影響が生じるため、普段から Wireshark を使っているチームほど注意が必要だと、この記事は指摘しています。よろしければ、Wireshark での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.