Garaj kapılarını kontrol etmek, ev alarmlarını devre dışı bırakmak veya akıllı fişleri kontrol etmek için keşfedilen birden fazla güvenlik açığı keşfedilen Nexx akıllı cihazlardan yararlanabilir.
Halka açık bir şekilde açıklanan beş güvenlik sorunu vardır, bu da tedarikçinin henüz kabul etmediği ve düzeltmediği ortamdan kritik olarak değişen şiddet puanları vardır.
En önemli keşif, ürün yazılımında sabit kodlanmış ve aynı zamanda NEXX API ile müşteri iletişiminden elde edilmesi kolay olan evrensel kimlik bilgilerinin kullanılmasıdır.
Güvenlik açığı, bir saldırganın e -posta adreslerini, cihaz kimliklerini ve adları toplamasına izin vererek NEXX kullanıcılarını tanımlamak için de kullanılabilir.
CVE-2023-1748 olarak izlenen güvenlik kusurunun etkisini gösteren bir video aşağıda mevcuttur. Nexx kontrollü garaj kapısını açmak için kullanılabilir.
4 Ocak'ta bağımsız güvenlik araştırmacısı Sam Sabetan, bir saldırganın gerçek hayatta nasıl yararlanabileceğini açıklayan kusurlar hakkında bir yazı yayınladı.
20.000 hesapla ilişkili en az 40.000 NEXX cihazı olduğu tahmin edilmektedir. Güvenlik sorununun ciddiyeti nedeniyle, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da ilgili bir uyarı yayınladı.
CISA, NEXX ürünlerinin sahiplerine saldırganların hassas bilgilere erişebileceği, API istekleri yürütebileceği veya cihazlarını ele geçirebileceği konusunda uyarıyor.
Sabetan, NEXX Garaj Kapı Denetleyicileri NXG-100B ve NGX-200 Koşu Sürümü NXG200V-P3-4-1 veya daha büyük olan NXPG-100-Plug NXPG-100W Koşu NXPPG100CV4-0-0 ve daha eski ve daha eski ve daha büyük ve daha büyük ve daha büyük ve daha büyük olan NGX-200 Koşu Sürümü Etkileyen Güvenlik Açıklarını keşfetti. NEXX Akıllı Alarm NXAL-100 Koşu Sürümü NXAL100V-P1-9-1 ve daha büyük.
Beş kusurdan en şiddetli olan CVE-2023-1748, NEXX Cloud'un Android veya iOS Nexx Home Mobil Uygulaması aracılığıyla yeni kayıtlı tüm cihazlar için evrensel bir şifre oluşturmasının sonucudur.
Bu şifre hem API veri alışverişinde hem de cihazla gönderilen ürün yazılımı için mevcuttur, bu nedenle saldırganların NEXX’in IOT'ları için iletişimi kolaylaştıran MQTT sunucusu aracılığıyla cihazlara komut göndermesi kolaydır.
Araştırmacının kusurları Nexx'e bildirme girişimlerine rağmen, tüm mesajlar cevap vermeden kaldı ve sorunların açılmasına neden oldu.
“Nexx, kendimden herhangi bir yazışma, DHS (CISA ve ABD-CERT) veya Media Media Group'u yanıtlamadı. Bağımsız olarak doğruladım Nexx, iyileştirmeye yardımcı olma girişimlerimizi kasten görmezden geldi ve bu kritik kusurların müşterilerini etkilemeye devam etmesine izin verdi ” -Sam Sabetan
BleepingComputer, yukarıdakiler hakkında bir yorum talep etmek için bağımsız olarak Nexx ile temasa geçti, ancak yayın sırasında bir yanıt almadık.
Bu arada, satıcı tarafından bir sabitleme yaması yapılana kadar bu saldırılardan elde edilen riski azaltmak için, NEXX cihazlarınız için İnternet bağlantısını devre dışı bırakmanız, güvenlik duvarlarının arkasına yerleştirmeniz ve kritik ağlardan izole edilmesi önerilir.
Nexx cihazlarına uzaktan erişmek veya kontrol etmek gerekiyorsa, bunu yalnızca veri iletimlerini şifreleyen bir VPN (sanal özel ağ) bağlantısı aracılığıyla yapın.
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
90 gün içinde laserjet yazıcılarda kritik hatayı yamaya HP
CISA Kev kusurlarına karşı savunmasız 15 milyon halka açık hizmet
Hackers, Elementor Pro WordPress eklentisinde 11m yüklemelerle sömürül
WiFi Protokolü Kusur, saldırganların ağ trafiğini ele geçirmesine izin verir
Kaynak: Bleeping Computer