| タイトル | Comcast XFINITY Home Security の無線接続が切断されたときの処理に問題 |
|---|---|
| 概要 | Comcast XFINITY Home Security システムは、センサとベースステーション間の無線接続が切断されたときの処理に問題があり、警報発生が意図的に妨害される可能性があります。 CWE-636: Not Failing Securely ('Failing Open') Comcast XFINITY Home Security では、システムを構成するセンサやベースステーション間で、周波数 2.4GHz、ZigBee プロトコルによる通信を行っています。Comcast XFINITY Home Security は、無線通信が途切れたときにアラートが発報されず、さらに通信が回復するまでに数分から数時間かかることがあります。通信が途切れている間もアラートは発生しません。したがって、無線接続を妨害することで、Home Security からのアラート発生を抑止することが可能です。 CWE-636: Not Failing Securely ('Failing Open') https://cwe.mitre.org/data/definitions/636.html より詳しい情報は、Rapid7 のブログ記事を参照してください。 Rapid7 のブログ記事 https://community.rapid7.com/community/infosec/blog/2016/01/05/r7-2015-23-comcast-xfinity-home-security-system-insecure-fail-open なお、National Vulnerability Database (NVD) CVE-2016-2398 では、CWE-254 として公開されています。 CWE-254: Security Features (セキュリティ機能) http://cwe.mitre.org/data/definitions/254.html |
| 想定される影響 | アラート動作を妨害される可能性があります。 |
| 対策 | 2016年1月6日現在、対策方法は不明です。 |
| 公表日 | 2016年1月5日0:00 |
| 登録日 | 2016年1月7日11:43 |
| 最終更新日 | 2016年3月16日14:31 |
| CVSS2.0 : 注意 | |
| スコア | 3.3 |
|---|---|
| ベクター | AV:A/AC:L/Au:N/C:N/I:N/A:P |
| Comcast |
| XFINITY Home Security |
| XFINITY Home Security |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年01月07日] 掲載 [2016年03月16日] 概要:内容を更新 共通脆弱性識別子(CVE):CVE-ID を追加 参考情報:Common Vulnerabilities and Exposures (CVE) (CVE-2016-2398) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2016-2398) を追加 |
2018年2月17日10:37 |
| 概要 | Comcast XFINITY Home Security System does not properly maintain base-station communication, which allows physically proximate attackers to defeat sensor functionality by interfering with ZigBee 2.4 GHz transmissions. |
|---|---|
| 公表日 | 2016年2月18日1:59 |
| 登録日 | 2021年1月26日14:08 |
| 最終更新日 | 2024年11月21日11:48 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:comcast:xfinity_home_security_system:*:*:*:*:*:*:*:* | |||||