Panoramica:
Il 10 aprile 2019, i ricercatori hanno rivelato diverse vulnerabilità che influenzano l'autenticazione delle reti wireless. Queste vulnerabilità descrivono una serie di effetti, dall'esaurimento delle risorse sui punti di accesso wireless, al declassamento della potenza di crittografia, fino ai crash.
Al momento eero non implementa l'autenticazione WPA3 o EAP-pwd per i dispositivi client, quindi la maggior parte delle vulnerabilità rivelate non influiscono sulle reti di eero.
Le reti eero utilizzano un componente di autenticazione WPA3 chiamato SAE quando stabiliscono la rete mesh tra di loro. SAE è stato soggetto a un attacco di esaurimento delle risorse che in alcuni casi potrebbe influenzare l'implementazione della mesh di eero, e un'implementazione comune di SAE conteneva una vulnerabilità legata alla validazione dello stato. Le reti eero sono state dotate di patch per proteggere i clienti da entrambi i problemi prima che questa notizia fosse resa pubblica.
Vulnerability ID |
Nome |
Riguarda eero? |
CVE-2019-9494 |
SAE cache attack against ECC groups |
No |
CVE-2019-9495 |
EAP-pwd cache attack against ECC groups |
No |
CVE-2019-9496 |
SAE confirm missing state validation |
Patched |
CVE-2019-9497 |
EAP-pwd missing commit validation (reflection attack) |
No |
CVE-2019-9498 |
EAP-pwd missing commit validation - network impact |
No |
CVE-2019-9499 |
EAP-pwd missing commit validation - rogue AP |
No |
Le patch sono state applicate automaticamente in eeroOS v3.12.1. Per confermare se la tua rete è aggiornata o meno, fai riferimento a questo articolo.