Informazioni sul CVE-2023-2626

Authentication Bypass in OpenThread Boarder Router devices

CWE ID: CWE-287

Base Score (CVSS): N/A

CVE: CVE-2023-2626

Descrizione: There exists an authentication bypass vulnerability in OpenThread border router devices and implementations. This issue allows unauthenticated nodes to craft radio frames using “Key ID Mode 2”: a special mode using a static encryption key to bypass security checks, resulting in arbitrary IP packets being allowed on the Thread network. This provides a pathway for an attacker to send/receive arbitrary IPv6 packets to devices on the LAN, potentially exploiting them if they lack additional authentication or contain any network vulnerabilities that would normally be mitigated by the home router’s NAT firewall. Effected devices have been mitigated through an automatic update beyond the affected range.

Vettore di attacco CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.5 (High)

Riassunto: Accesso: Adjacent Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	A	Adjacent Network	L’attacco richiede accesso a una rete locale condivisa.
Attack Complexity (AC)	H	High	L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR)	N	None	Non sono richiesti privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

https://support.google.com/product-documentation/answer/13588832?hl=en&ref_topic=12974021&sjid=7833436865896465963-NA#zippy=%2Cnest-wifi

Prodotti interessati

Google – Nest Hub Max
Google – Nest Hub (2nd. gen) w/ Sleep Tracking
Google – Nest Wifi 6E
Google – Google Wifi (next gen)
Google – Nest Wifi Point
Google – Nest Hub Max
Google – Nest Hub (2nd. gen) w/ Sleep Tracking

Relazioni con altri prodotti

Produttore:Google
Prodotto: Nest Hub Max
Anno: 2023
CWE: CWE-287
CVSS: 0.0

Produttore:Google
Prodotto: Nest Hub (2nd. gen) w/ Sleep Tracking
Anno: 2023
CWE: CWE-287
CVSS: 0.0

Produttore:Google
Prodotto: Nest Wifi 6E
Anno: 2023
CWE: CWE-287
CVSS: 0.0

Produttore:Google
Prodotto: Google Wifi (next gen)
Anno: 2023
CWE: CWE-287
CVSS: 0.0

Produttore:Google
Prodotto: Nest Wifi Point
Anno: 2023
CWE: CWE-287
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2023)