公開日:2022/01/11 最終更新日:2022/01/11

JVNVU#94598199
Silicon Labs製Z-Waveチップセットを利用するデバイスにおける複数の脆弱性

概要

Silicon Labs社が提供するZ-Waveチップセットを利用するデバイスには、複数の脆弱性が存在します。

影響を受けるシステム

以下のチップセットを利用しているZ-waveデバイス
CVE-2020-9057

  • Silicon Labs 100 series
  • Silicon Labs 200 series
  • Silicon Labs 300 series
CVE-2020-9058、CVE-2020-9059、CVE-2020-9060、CVE-2020-9061
  • Silicon Labs 500 series
CVE-2020-9061、CVE-2020-10137
  • Silicon Labs 700 series

詳細情報

Silicon Labs社が提供するZ-Waveチップセットを利用するデバイスには、次の複数の脆弱性が存在します。

  • 重要なデータの暗号化の欠如 (CWE-311) - CVE-2020-9057、CVE-2020-9058
  • リソースの枯渇 (CWE-400) - CVE-2020-9059、CVE-2020-9060
  • 同一生成元ポリシー違反 (CWE-346) - CVE-2020-9060
  • 不適切な認可処理 (CWE-285) - CVE-2020-9061
  • データの真正性の検証が不十分 (CWE-345) - CVE-2020-10137

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者によって暗号化されていない通信内容を読み取られ機密情報を窃取される。 - CVE-2020-9057、CVE-2020-9058
  • 攻撃者によって予期しないリソース消費が行われ、バッテリーを消耗される。 - CVE-2020-9059
  • 攻撃者によって不正な形式のSECURITY NONCE GETSECURITY NONCE GET 2NO OPERATIONNIF REQUESTを送信されることでサービス運用妨害(DoS)状態、リソース枯渇状態にされる。 - CVE-2020-9060
  • 攻撃者によって不正な形式のルーティングメッセージを送信されることでサービス運用妨害(DoS)状態にされる。 - CVE-2020-9061
  • 攻撃者による不正なFIND_NODE_IN_RANGEフレームによってサービス運用妨害(DoS)状態にされる。 - CVE-2020-10137

対策方法

脆弱性に対する対策は各デバイスごとに異なるため、詳細は開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
Silicon Labs Tech Support

参考情報

  1. CERT/CC Vulnerability Note VU#142629
    Silicon Labs Z-Wave chipsets contain multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia