Plusieurs vulnérabilités découvertes Les appareils intelligents Nexx peuvent être exploités pour contrôler les portes de garage, désactiver les alarmes domestiques ou les prises intelligentes.

Cinq problèmes de sécurité ont été divulgués publiquement, avec des scores de gravité allant de moyen à critique, que le fournisseur doit encore reconnaître et résoudre.

La découverte la plus importante est l’utilisation d’informations d’identification universelles qui sont codées en dur dans le micrologiciel et également faciles à obtenir à partir de la communication client avec l’API de Nexx.

La vulnérabilité peut également être exploitée pour identifier les utilisateurs de Nexx, permettant à un attaquant de collecter des adresses e-mail, des identifiants d’appareils et des prénoms.

Une vidéo montrant l’impact de la faille de sécurité, identifiée comme CVE-2023-1748, est disponible ci-dessous. Il pourrait être utilisé pour ouvrir n’importe quelle porte de garage contrôlée par Nexx.

Le 4 janvier, le chercheur indépendant en sécurité Sam Sabetan a publié un article sur les failles, expliquant comment un attaquant pourrait les exploiter dans la vie réelle.

On estime qu’il existe au moins 40 000 appareils Nexx associés à 20 000 comptes. En raison de la gravité du problème de sécurité, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) a également publié une alerte pertinente.

CISA avertit les propriétaires de produits Nexx que les attaquants pourraient accéder à des informations sensibles, exécuter des requêtes API ou détourner leurs appareils.

Détails de la vulnérabilité
Sabetan a découvert les vulnérabilités répertoriées ci-dessous, qui affectent les contrôleurs de porte de garage Nexx NXG-100B et NGX-200 exécutant la version nxg200v-p3-4-1 ou antérieure, la prise intelligente Nexx NXPG-100W exécutant la version nxpg100cv4-0-0 et antérieure, et Nexx Smart Alarm NXAL-100 exécutant la version nxal100v-p1-9-1 et antérieure.

  • CVE-2023-1748 : Utilisation d’informations d’identification codées en dur dans les appareils mentionnés, permettant à quiconque d’accéder au serveur de télémétrie MQ et de contrôler à distance les appareils de n’importe quel client. (Note CVSS : 9,3)
  • CVE-2023-1749 : contrôle d’accès incorrect sur les requêtes API envoyées à des ID d’appareil valides. (Note CVSS : 6,5)
  • CVE-2023-1750 : Contrôle d’accès incorrect permettant aux attaquants de récupérer l’historique et les informations de l’appareil et de modifier ses paramètres. (Note CVSS : 7,1)
  • CVE-2023-1751 : Validation d’entrée incorrecte, échec de la corrélation du jeton dans l’en-tête d’autorisation avec l’ID de l’appareil. (Note CVSS : 7,5)
  • CVE-2023-1752 : contrôle d’authentification incorrect permettant à tout utilisateur d’enregistrer un appareil Nexx déjà enregistré à l’aide de son adresse MAC. (Note CVSS : 8,1)

La plus grave des cinq failles, CVE-2023-1748, est le résultat de la définition par Nexx Cloud d’un mot de passe universel pour tous les appareils nouvellement enregistrés via l’application mobile Android ou iOS Nexx Home.

Ce mot de passe est disponible à la fois sur l’échange de données API et sur le micrologiciel livré avec l’appareil, il est donc facile pour les attaquants de l’obtenir et d’envoyer des commandes aux appareils via le serveur MQTT, ce qui facilite la communication pour les IoT de Nexx.

Malgré les multiples tentatives du chercheur pour signaler les failles à Nexx, tous les messages sont restés sans réponse, ce qui a fait que les problèmes n’ont pas été corrigés.

« Nexx n’a répondu à aucune correspondance de moi-même, du DHS (CISA et US-CERT) ou de VICE Media Group. J’ai vérifié de manière indépendante que Nexx a délibérément ignoré toutes nos tentatives d’assistance à la correction et a laissé ces failles critiques continuer à affecter leurs clients » – Sam Sabetan

Breachtrace a indépendamment contacté Nexx pour demander un commentaire sur ce qui précède, mais nous n’avons pas reçu de réponse au moment de la publication.

En attendant, pour atténuer le risque de ces attaques jusqu’à ce qu’un correctif soit mis à disposition par le fournisseur, il est recommandé de désactiver la connectivité Internet de vos appareils Nexx, de les placer derrière des pare-feu et de les isoler des réseaux critiques.

S’il est nécessaire d’accéder ou de contrôler à distance les appareils Nexx, faites-le uniquement via une connexion VPN (réseau privé virtuel) qui crypte les transmissions de données.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *