В умных устройствах Nexx обнаружены множественные уязвимости, которые могут использоваться для управления гаражными воротами, отключения домашней сигнализации и умных розеток. Производитель пока не признал и не исправил описанные исследователем баги.

Многочисленные уязвимости еще в конце 2022 года обнаружил ИБ-исследователь Сэм Сабетан (Sam Sabetan). По его оценке, багам подвержены более 40 000 умных девайсов, расположенных как в жилых, так и в коммерческих помещениях. На этой неделе эксперт раскрыл детали найденных уязвимостей, так как связаться с производителем и добиться выхода патчей ему так и не удалось.

Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) уже выпустили собственный бюллетень безопасности, предупреждая частных лиц и организации, использующих продукты Nexx, об уязвимостях, обнаруженных исследователем. Эксперты CISA подчеркивают, что проблемные устройства используются на коммерческих объектах по всему миру, но связаться с  производителем не удалось даже им.

«Nexx не ответила ни на какие сообщения от меня, DHS (CISA и US-CERT), а также VICE Media Group. Я независимо подтвердил, что Nexx намеренно игнорирует все наши попытки помочь с исправлением и позволяет этим критическим проблемам продолжать влиять на устройства клиентов», —  заявляет Сабетан.

В общей сложности исследователь нашел пять уязвимостей, большинству из которых был присвоен «высокий» или «критический» рейтинг опасности. Баги затрагивают контроллеры гаражных ворот Nexx NXG-100B и NGX-200 под управлением nxg200v-p3-4-1 или старше, Nexx Smart Plug NXPG-100W под управлением nxpg100cv4-0-0 и старше, а также Nexx Smart Alarm NXAL-100 с версией nxal100v-p1-9-1 и старше.

  • CVE-2023-1748: жестко заданные учетных данных на перечисленных устройствах, которые позволяют любому желающему получить доступ к серверу телеметрии MQ и удаленно управлять любыми устройствами клиента (9,3 балла по шкале CVSS);
  • CVE-2023-1749: некорректный контроль доступа в отношении запросов API, отправляемых на действительные ID устройств (6,5 баллов по шкале CVSS);
  • CVE-2023-1750: некорректный контроль доступа, позволяющий злоумышленникам получить доступ к истории устройства, информации о нем, а также изменить настройки (7,1 балла по шкале CVSS);
  • CVE-2023-1751: некорректная проверка ввода, из-за которой невозможно сопоставить токен авторизации с ID устройства (7,5 баллов по шкале CVSS)
  • CVE-2023-1752: некорректный контроль аутентификации, позволяющий любому пользователю зарегистрировать уже зарегистрированное устройство Nexx, используя его MAC-адрес (8,1 балла по шкале CVSS).

Наиболее серьезной их этих ошибок является CVE-2023-1748. Баг связан с тем, что Nexx Cloud устанавливает универсальный пароль для всех устройств, зарегистрированных через приложение Nexx Home для Android или iOS.

Этот пароль доступен как при обмене данными API, так и в прошивке, поставляемой с устройством, поэтому злоумышленник может легко узнать его и отправлять команды на устройство через MQTT.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии