Een kritieke kwetsbaarheid, aangeduid als CVE-2025-52464, is ontdekt in de Meshtastic firmware tussen versies 2.5.0 en 2.6.11. Het probleem wordt veroorzaakt door herhaalde openbare en privé-sleutels die tijdens het flashen zijn gegenereerd. Dit kan ertoe leiden dat een aanvaller, die in bezit is van een verzameling van gecompromitteerde sleutels, berichten kan ontcijferen die met die sleutels zijn verzonden.
Overzicht
Meshtastic firmware heeft te maken met een probleem van onvoldoende entropie (CWE-331) tijdens het genereren van cryptografische toetsen. Deze kwetsbaarheid heeft een CVSS-score van 9.5 en is als kritiek geclassificeerd vanwege de hoge impact op vertrouwelijkheid en integriteit, hoewel de beschikbaarheidsimpact laag is.
Aanbevelingen
- Update de firmware naar versie 2.6.11 of hoger, waar deze kwetsbaarheden zijn verholpen.
- Controleer of de sleutelgeneratie correct is uitgevoerd bij het instellen van de LoRa-regio.
- Voer een volledige apparaatwissing uit om vendor-gekloneerde sleutels te verwijderen indien dit niet automatisch gebeurt.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-52464?
Dit is een beveiligingslek binnen de Meshtastic firmware waarbij herhaalde openbare en privé-sleutels veiligheid in gevaar kunnen brengen.
Welke systemen zijn kwetsbaar voor CVE-2025-52464?
Meshtastic systemen met firmware versies tussen 2.5.0 en 2.6.11 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 2.6.11 pakt de problemen aan, met verdere verbeteringen in versie 2.6.12.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gecompromitteerde sleutels gebruiken om toegang te verkrijgen tot versleutelde communicatie en deze te ontcijferen.
