CVE-2022-24400
DCK pinning attack in TETRA
En resumen
Una falla en la autenticación de TETRA permite que un atacante que pueda predecir un valor específico del desafío intercepte las comunicaciones y fuerce la clave de sesión a cero, haciendo que las conversaciones encriptadas sean legibles.
Detalle técnico
La vulnerabilidad explota la previsibilidad del desafío RAND2 del MS en el procedimiento de autenticación TETRA, permitiendo que un adversario man-in-the-middle manipule la negociación de la Clave de Cifra Derivada (DCK) a un estado nulo, comprometiendo el cifrado de la sesión sin detección.
Resumen generado y traducido por IA a partir de la descripción oficial.
A flaw in the TETRA authentication procecure allows a MITM adversary that can predict the MS challenge RAND2 to set session key DCK to zero.
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:U/RC:R/CR:H/IR:H/AR:H/MAV:A/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
Productos afectados
ETSI · TETRA Standard¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://tetraburst.com/