CVE-2026-5446 wolfSSL ARIA-GCM密码套件Nonce重用漏洞

漏洞信息

漏洞编号

CVE-2026-5446

漏洞类型

加密问题

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

wolfSSL

漏洞概述

wolfSSL在TLS 1.2和DTLS 1.2中使用ARIA-GCM密码套件时，由于wc_AriaEncrypt函数无状态且未正确管理IV，导致重复使用相同的12字节GCM nonce。该漏洞仅影响启用了--enable-aria并使用MagicCrypto SDK的wolfSSL构建版本，可能导致攻击者解密流量或篡改数据。

技术细节

该漏洞源于wolfSSL在处理ARIA-GCM加密时的实现缺陷。在TLS 1.2和DTLS 1.2协议中，每个应用数据记录应使用唯一的GCM nonce。然而，受影响版本的wc_AriaEncrypt函数是无状态的，它直接将调用者提供的IV传递给MagicCrypto SDK，没有内部计数器机制。由于显式IV在会话建立时被初始化为零，且在非FIPS构建中从未递增，导致每个记录都重复使用相同的12字节nonce。相比之下，AES-GCM的实现维护了独立的调用计数器，因此不受此问题影响。由于GCM模式的安全性严重依赖于nonce的唯一性，重复使用nonce会破坏认证机制，攻击者可利用此漏洞恢复认证密钥，进而解密通信内容或伪造消息。

攻击链分析

STEP 1

侦察与识别

扫描目标服务器，确认其使用wolfSSL库，且启用了ARIA-GCM密码套件（通常用于韩国合规环境）。

STEP 2

流量拦截

攻击者作为中间人（MITM）或被动监听者，捕获客户端与服务器之间的TLS流量。

STEP 3

数据分析

提取多个应用数据记录中的GCM Nonce（通常为显式IV）。

STEP 4

漏洞利用

验证Nonce是否重复。如果是，利用GCM的数学特性，通过已知明文或利用重放/伪造技术计算认证密钥H。

STEP 5

解密与篡改

利用密钥H解密后续或之前的通信内容，或伪造有效的加密包以劫持会话。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC: Check for nonce reuse in ARIA-GCM sessions
# This script simulates the observation of static IVs in encrypted packets.

import socket
import struct

def check_aria_nonce_reuse(target_host, target_port):
    # Connect to the target server supporting ARIA-GCM
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((target_host, target_port))
    
    # Perform TLS Handshake (Simplified for PoC context)
    # In a real scenario, use a library like tlslite to force ARIA-GCM cipher suite
    print("[+] Establishing TLS connection with ARIA-GCM...")
    
    # Send two application data records
    data_1 = b"First record"
    data_2 = b"Second record"
    
    # Capture encrypted records (Simulated)
    # In the vulnerable version, the explicit IV (first 12 bytes of record) will be identical.
    record_1_encrypted = b"\x00" * 12 + b"...ciphertext1..." # IV is zeros
    record_2_encrypted = b"\x00" * 12 + b"...ciphertext2..." # IV is still zeros
    
    iv_1 = record_1_encrypted[:12]
    iv_2 = record_2_encrypted[:12]
    
    if iv_1 == iv_2:
        print("[!!!] VULNERABILITY CONFIRMED: Nonce (IV) reuse detected!")
        print(f"IV 1: {iv_1.hex()}")
        print(f"IV 2: {iv_2.hex()}")
        print("An attacker can use these identical nonces to recover authentication tags and decrypt traffic.")
    else:
        print("[-] IVs are unique. Target might be patched or not using vulnerable config.")
    
    sock.close()

# Usage
# check_aria_nonce_reuse("example.com", 443)

影响范围

wolfSSL (配置了 --enable-aria 和 MagicCrypto SDK 的非FIPS构建版本)

防御指南

临时缓解措施

建议用户立即禁用所有ARIA密码套件，转而使用AES-GCM。同时，应关注wolfSSL官方发布的更新，应用修复wc_AriaEncrypt函数Nonce管理逻辑的补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5446
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5446
3 Details https://www.cvedetails.com/cve/CVE-2026-5446/
4 VulDB https://vuldb.com/cve/CVE-2026-5446
5 Link https://github.com/wolfSSL/wolfssl/pull/10111