Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ABUS Secvest (CVE-2019-14261)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-310 Errores criptográficos
Fecha de publicación:
03/09/2019
Última modificación:
05/09/2019

Descripción

Se ha descubierto un fallo en los dispositivos ABUS Secvest FUAA50000 versión 3.01.01. Debido a una implementación insuficiente de la detección de interferencias, un atacante puede suprimir correctamente los mensajes de RF recibidos enviados entre componentes periféricos inalámbricos, por ejemplo, detectores inalámbricos o controles remotos, y la central de alarmas ABUS Secvest. Un atacante puede realizar un ataque de "interferencia reactiva". El bloqueo reactivo simplemente detecta el inicio de un mensaje de RF enviado por un componente del sistema de alarma inalámbrico ABUS Secvest, por ejemplo, un detector de movimiento inalámbrico (FUBW50000) o un control remoto (FUBE50014 o FUBE50015), y lo superpone con datos aleatorios antes del finaliza el mensaje RF original. De este modo, el receptor (central de alarma) no puede decodificar adecuadamente la señal transmitida original. Esto permite que un atacante suprima mensajes RF recibidos correctamente del sistema de alarma inalámbrico de una manera no autorizada, por ejemplo, mensajes de estado enviados por un detector que indica una intrusión.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:abus:secvest_wireless_alarm_system_fuaa50000_firmware:3.01.01:*:*:*:*:*:*:*
cpe:2.3:h:abus:secvest_wireless_alarm_system_fuaa50000:-:*:*:*:*:*:*:*