Vulnerabilidad en los dispositivos Z-Wave en los conjuntos de chips de las series 100, 200 y 300 de Silicon Labs (CVE-2020-9057)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-311
Ausencia de cifrado en información sensible
Fecha de publicación:
10/01/2022
Última modificación:
18/01/2022
Descripción
Los dispositivos Z-Wave basados en los conjuntos de chips de las series 100, 200 y 300 de Silicon Labs no admiten cifrado, permitiendo a un atacante dentro del alcance de la radio tomar el control o causar una denegación de servicio en un dispositivo vulnerable. Un atacante también puede capturar y reproducir el tráfico Z-Wave. Las actualizaciones de firmware no pueden abordar directamente esta vulnerabilidad, ya que es un problema con la especificación Z-Wave para estos conjuntos de chips heredados. Una forma de protegerse contra esta vulnerabilidad es usar los conjuntos de chips de las series 500 o 700 que soportan el cifrado de Seguridad 2 (S2). Como ejemplos, el Linear WADWAZ-1 versión 3.43 y WAPIRZ-1 versión 3.43 (con chipsets de la serie 300) son vulnerables
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
8.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linear:wadwaz-1:3.43:*:*:*:*:*:*:* | ||
| cpe:2.3:o:linear:wapirz-1:3.43:*:*:*:*:*:*:* | ||
| cpe:2.3:o:silabs:100_series_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:o:silabs:200_series_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:o:silabs:300_series_firmware:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página