シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

[CyRC脆弱性勧告]CVE-2022-39065 IKEA TRÅDFRI スマートライティング・ゲートウェイ

Black Duck Editorial Staff

Oct 17, 2022 / 1 min read

CVE-2022-39065 は、IKEA TRÅDFRI スマートライティング・ゲートウェイに影響を与える脆弱性です。

概要

Synopsys Cybersecurity Research Center (CyRC) の調査により、IKEA TRÅDFRI スマートライティング・システムに影響のある脆弱性が発見されました。不正な IEEE 802.15.4 (Zigbee) フレームが 1 つあると、TRÅDFRI ゲートウェイが応答しなくなり、接続された照明を IKEA Home Smart アプリと TRÅDFRI リモコンで制御できなくなるというものです。

不正な Zigbee フレームは認証されていないブロードキャストメッセージであり、無線範囲内のすべての脆弱なデバイスが影響を受けることを意味します。

この攻撃を受けたシステムを回復させるるために、ユーザーは手動でゲートウェイの電源を入れ直すことができます。ただし、攻撃者はいつでも攻撃を再現できます。

CVE-2022-39065 は、IKEA TRÅDFRI スマート照明システムで最近発見された別の可用性の脆弱性に関連しています (CVE-2022-39064)。 詳細については、こちらのブログ記事をご覧ください。

影響のあるデバイス

IKEA Trådfri Gateway タイプ E1526 バージョン 1.17.44 以前

影響

CVSS 3.1 base score: 6.5
CVSS 3.1 vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

緩和策

ゲートウェイソフトウェアをバージョン 1.19.26 以降にアップグレードする。

発見者

この脆弱性は、CyRC の研究者である Kari Hulkko と Tuomo Untinenによって発見されました

タイムライン

  • 2021年6月17日:Ikeaに対する最初の開示
  • 2021年10月29日:Ikeaによる脆弱性の確認
  • 2022年2月16日:Ikeaによる脆弱性の修正のリリース
  • 2022年10月5日:Synopsysによる脆弱性勧告の公開

CVSSについて

FIRST.Org, Inc (FIRST) は、CVSS を所有および管理する米国を拠点とする非営利団体です。CVSS を使用または実装するために FIRST のメンバーである必要はありませんが、FIRST では、CVSS を使用する際に個人または組織が適切な帰属を示す必要があります。FIRST はまた、スコアを公開する個人または組織は、スコアがどのように計算されたかを誰もが理解できるように、ガイドラインに従っていると述べています。

Continue Reading

トピックを探索する