Antecedentes:
El 10 de abril de 2019, los investigadores revelaron varias vulnerabilidades que afectan a la autenticación de las redes inalámbricas. Estas vulnerabilidades describen una serie de efectos, desde el agotamiento de los recursos en los puntos de acceso inalámbrico, hasta la disminución de la fuerza de cifrado, o la causa de caídas.
En el momento de escribir este artículo, eero no implementa la autenticación WPA3 o EAP-pwd para los dispositivos cliente, por lo que la mayoría de las vulnerabilidades reveladas no afectan a las redes de eero.
Las redes de eero utilizan un componente de autenticación del WPA3 llamado SAE al establecer la red de mesh entre ellas.SAE fue objeto de un ataque de agotamiento de recursos que en algunos casos podía afectar a la implementación de la malla de eero, y una implementación común de SAE contenía una vulnerabilidad relacionada con la validación del estado. El software de las redes de eero fue revisado para proteger a los clientes de ambos problemas antes de que esta noticia se hiciera pública.
ID de vulnerabilidad |
Nombre |
¿Está eero afectado? |
CVE-2019-9494 |
Ataque con caché SAE contra grupos de ECC |
No |
CVE-2019-9495 |
Ataque de caché de EAP-pwd contra grupos de ECC |
No |
CVE-2019-9496 |
SAE confirma la validación del estado faltante |
Parcheado |
CVE-2019-9497 |
EAP-pwd falta la validación del compromiso (ataque de reflexión) |
No |
CVE-2019-9498 |
EAP-pwd falta de validación del compromiso - impacto de la red |
No |
CVE-2019-9499 |
EAP-pwd falta la validación del compromiso - rogue AP |
No |
Los parches para los clientes de eero fueron aplicados automáticamente en eeroOS v3.12.1.