PT-2020-8936 · Ecobee · Ecobee4
Publicado
2020-04-14
·
Atualizado
2020-08-24
·
CVE-2018-6402
CVSS v3.1
7.5
Alta
| Vetor | AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Ecobee Ecobee4 versão 4.2.0.171
Descrição
A vulnerabilidade permite que um invasor force o dispositivo a se desautenticar e se conectar a uma rede Wi-Fi não criptografada com o mesmo SSID, mesmo que as configurações do dispositivo especifiquem o uso de criptografia como WPA2, desde que a rede concorrente tenha um sinal mais forte. Isso é semelhante a um ataque “Evil Twin”, no qual o invasor configura um SSID próximo.
Recomendações
Para o Ecobee Ecobee4 versão 4.2.0.171, considere desativar a conexão Wi-Fi até que uma correção esteja disponível e restrinja o acesso ao dispositivo para minimizar o risco de exploração. Como solução temporária, evite usar redes Wi-Fi não criptografadas e certifique-se de que o dispositivo esteja conectado a uma rede segura com um sinal forte. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ecobee4