.
Um punhado de bugs nos dispositivos domésticos inteligentes da Nexx pode ser explorado por bandidos para, entre outras coisas, abrir portas, desligar aparelhos e desativar alarmes. Mais de 40.000 desses aparelhos em propriedades residenciais e comerciais são considerados vulneráveis depois que o fabricante não agiu.
Depois que o negócio da Internet das Coisas supostamente ignorou as tentativas de três meses por Sam Sabetanque descobriu as vulnerabilidades, e a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA para ajudar a corrigir as falhas, tanto Sabetan quanto Tio Sam tornaram-se públicos com os detalhes para que os usuários possam minimizar seus riscos.
Ou melhor ainda, como sugere Sabetan, “desligue imediatamente todos os dispositivos Nexx.”
Strong The One tentei entrar em contato com a Nexx para esta história, e o fabricante também não respondeu aos nossos pedidos.
Em 4 de abril, a CISA disse que não estava ciente de explorações que visam especificamente essas vulnerabilidades, embora agora que os detalhes estejam disponíveis, isso pode mudar rapidamente.
As cinco vulnerabilidades afetam os controladores de porta de garagem Nexx (NXG-100B, NXG-200) com versão de firmware nxg200v-p3-4-1 e anteriores; Plugues inteligentes Nexx (NXPG-100W) versão nxpg100cv4-0-0 e anteriores; e alarmes inteligentes Nexx (NXAL-100) versão nxal100v-p1-9-1 e anteriores.
CVE-2023-1748 é a falha mais séria e recebeu uma pontuação de gravidade CVSS de 9,3 em 10. Essencialmente, os produtos domésticos inteligentes Nexx vulneráveis usam credenciais codificadas. Os criminosos podem obter facilmente esses créditos mágicos do aplicativo móvel ou firmware da Nexx e usá-los para acessar o hardware Nexx de qualquer estranho remotamente.
Um invasor não autenticado pode usar essas credenciais para acessar o servidor MQTT (Message Queuing Telemetry Transport) da Nexx — MQTT é o protocolo de mensagens usado pelos controladores de portas de garagem, plugues inteligentes e outros dispositivos IoT da Nexx. A partir daí, o meliante pode ver todas as mensagens MQTT para os clientes e dispositivos da Nexx e enviar comandos para controlar portas de garagem e tomadas de energia de estranhos.
Esta é a vulnerabilidade que Sabetan disse que pode ser explorada para abrir portas de garagem remotamente, e ele compartilhou um vídeo sobre isso no YouTube.
Como os plugues inteligentes da Nexx são vulneráveis a essa falha, os malfeitores podem ligar e desligar os eletrodomésticos conectados a esses plugues “ou até câmeras de segurança”, acrescentou Sabetan.
As próximas duas vulnerabilidades, CVE-2023-1749 e CVE-2023-1750 são vulnerabilidades inseguras de referência de objeto direto (IDOR). Essa é uma maneira sofisticada de dizer que os dispositivos não realizam verificações suficientes quando solicitados a fazer algo. Nesse caso, um invasor precisa apenas do NexxHome deviceId de alguém para enviar instruções ao dispositivo doméstico inteligente dessa pessoa, por meio da API Nexx, e o hardware apenas o obedecerá.
Uma terceira falha, CVE-2023-1751, é devido à validação de entrada imprópria. Os dispositivos afetados usam um servidor WebSocket para gerenciar mensagens entre a nuvem da Nexx e os dispositivos.
O servidor, no entanto, não valida corretamente se o token do portador no cabeçalho de autorização pertencer ao dispositivo que está tentando se conectar à nuvem. Isso pode permitir que qualquer usuário Nexx com um token de autorização válido de um único dispositivo controle qualquer alarme doméstico inteligente.
Finalmente, CVE-2023-1752 permite que alguém registre um alarme residencial já registrado usando o endereço MAC do dispositivo. “Como resultado, o dispositivo é removido da conta do proprietário original, permitindo que o invasor obtenha acesso total e arme ou desarme o alarme”, disse Sabetan.
Depois de encontrar as falhas, a Sabetan entrou em contato com a Nexx por meio do site de suporte do fornecedor em 4 de janeiro. Twitter e Facebook, bem como envolvimento do governo e da mídia”, observou.
A CISA começou a tentar entrar em contato com o fabricante do dispositivo IoT no final de janeiro. Após várias outras tentativas fracassadas nos meses seguintes, em 16 de março a agência emitiu um comunicado devido à falta de apoio do fabricante. ®
.
