JVNDB-2016-001001
|
Comcast XFINITY Home Security の無線接続が切断されたときの処理に問題
|
|
Comcast XFINITY Home Security システムは、センサとベースステーション間の無線接続が切断されたときの処理に問題があり、警報発生が意図的に妨害される可能性があります。
CWE-636: Not Failing Securely ('Failing Open')
Comcast XFINITY Home Security では、システムを構成するセンサやベースステーション間で、周波数 2.4GHz、ZigBee プロトコルによる通信を行っています。Comcast XFINITY Home Security は、無線通信が途切れたときにアラートが発報されず、さらに通信が回復するまでに数分から数時間かかることがあります。通信が途切れている間もアラートは発生しません。したがって、無線接続を妨害することで、Home Security からのアラート発生を抑止することが可能です。
CWE-636: Not Failing Securely ('Failing Open')
https://cwe.mitre.org/data/definitions/636.html
より詳しい情報は、Rapid7 のブログ記事を参照してください。
Rapid7 のブログ記事
https://community.rapid7.com/community/infosec/blog/2016/01/05/r7-2015-23-comcast-xfinity-home-security-system-insecure-fail-open
なお、National Vulnerability Database (NVD) CVE-2016-2398 では、CWE-254 として公開されています。
CWE-254: Security Features (セキュリティ機能)
http://cwe.mitre.org/data/definitions/254.html
|
|
CVSS v2 による深刻度
基本値: 3.3 (注意) [NVD値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
Comcast
|
|
|
アラート動作を妨害される可能性があります。
|
|
2016年1月6日現在、対策方法は不明です。
|
|
Comcast
|
|
- その他(CWE-Other) [IPA評価]
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2016-2398
|
|
- JVN : JVNVU#94556181
- National Vulnerability Database (NVD) : CVE-2016-2398
- US-CERT Vulnerability Note : VU#418072
- 関連文書 : R7-2015-23: Comcast XFINITY Home Security System Insecure Fail Open
|
|
- [2016年01月07日]
掲載
[2016年03月16日]
概要:内容を更新
共通脆弱性識別子(CVE):CVE-ID を追加
参考情報:Common Vulnerabilities and Exposures (CVE) (CVE-2016-2398) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2016-2398) を追加
|
