Ausencia de cifrado de información sensible en Meross MSS550X

Fecha de publicación 04/11/2021
Importancia
4 - Alta
Recursos Afectados

Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en Meross MSS550X, con el código interno INCIBE-2021-0450, que ha sido descubierta por Gerard Fuguet Morales.

A esta vulnerabilidad se le ha asignado el código CVE-2021-3774. Se ha calculado una puntuación base CVSS v3.1 de 9,3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N.

Solución

El problema ha sido solucionado por Meross en MSS550X, versión 3.2.3

Detalle

Meross Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores, crea un punto de acceso Wi-Fi sin las medidas de seguridad requeridas en la instalación inicial.

Esto podría permitir a un atacante remoto obtener el SSID de la Wi-Fi, así como la contraseña configurada por el usuario desde la app de Meross, a través de una solicitud Http/JSON.

CWE-319: Transmisión de información sensible en texto claro.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Listado de referencias
Smart Wi-Fi 2 Way Wall Switch MSS550X EU
How Cybercriminals Steal Wi-Fi Passwords through an IoT device even against Machine in the Middle
My neighbor's flat smells like data
Cuando un dispositivo IoT pone en riesgo la seguridad de la WiFi de tu casa
Etiquetas