Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Nexx Smart Home-Geräte anfällig für Sicherheitslücken
April 21, 2023 - TuxCare PR Team
Eine Handvoll Fehler in den Smart-Home-Geräten von Nexx, die von Hackern ausgenutzt werden können, gefährden schätzungsweise über 40.000 Wohn- und Geschäftsräume.
Damit können sie unter anderem Türen entriegeln, Geräte ausschalten und Alarme deaktivieren. Obwohl die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung und Sam Sabetan, der die Lücken gefunden hatte, drei Monate lang versuchten, die Probleme zu beheben, weigerte sich der Hersteller des Geräts offenbar, zu reagieren.
Aufgrund der ausbleibenden Reaktion haben Sabetan und CISA die Fakten nun öffentlich gemacht, damit die Verbraucher ihr Risiko verringern können. Sabetan empfiehlt den Verbrauchern, "sofort alle Nexx-Geräte auszustecken".
Am 4. April teilte die CISA mit, dass ihr keine speziellen Exploits für diese Sicherheitslücken bekannt seien. Jetzt, da die Informationen veröffentlicht wurden, könnte sich die Situation jedoch schnell ändern. Nexx Garagentorsteuerungen (NXG-100B, NXG-200), Nexx Smart Plugs (NXPG-100W) und Nexx Smart Alarms (NXAL-100) sind alle von den fünf Sicherheitslücken betroffen.
CVE-2023-1748 ist das kritischste Problem, für das die Smart-Home-Geräte von Nexx fest kodierte Anmeldeinformationen verwenden. Böswillige können diese Zugangsdaten von der mobilen App oder der Firmware von Nexx stehlen und sie verwenden, um aus der Ferne auf die Nexx-Geräte von Fremden zuzugreifen.
Diese Anmeldedaten können von einem nicht authentifizierten Angreifer verwendet werden, um Zugriff auf den Message Queuing Telemetry Transport (MQTT)-Server von Nexx zu erhalten. Nexx Garagentorsteuerungen, Smart Plugs und andere IoT-Geräte verwenden dieses Kommunikationsprotokoll.
Angreifer können die gesamte MQTT-Kommunikation einsehen und von dort aus Befehle zur Manipulation der Garagentore und Stromanschlüsse anderer Personen erteilen. In einem YouTube-Video demonstrierte Sabetan, wie dieses Problem ausgenutzt werden kann, um Garagentore aus der Ferne zu entriegeln.
Sabetan warnt außerdem, dass Hacker aufgrund der Anfälligkeit der Nexx Smart Plugs für diese Schwachstelle Haushaltsgeräte, die mit diesen Steckern verbunden sind, ein- und ausschalten könnten, darunter auch Überwachungskameras.
Zwei weitere Schwachstellen, CVE-2023-1749 und CVE-2023-1750, sind unsichere IDOR-Schwachstellen (direct object reference). Dies bedeutet, dass die Geräte keine ausreichenden Überprüfungen durchführen, wenn sie Anweisungen erhalten, so dass ein Angreifer nur die NexxHome deviceId einer Person benötigt, um deren Smart Home-Gerät über die Nexx-API zu steuern.
Eine dritte Schwachstelle, CVE-2023-1751, ist auf eine unsachgemäße Eingabevalidierung zurückzuführen. Die betroffenen Geräte verwenden einen WebSocket-Server, um Nachrichten zwischen der Nexx-Cloud und den Geräten zu verwalten. Der Server überprüft jedoch nicht ordnungsgemäß, ob das Inhaber-Token im Autorisierungs-Header zu dem Gerät gehört, das versucht, sich mit der Cloud zu verbinden. Dies könnte es jedem Nexx-Benutzer mit einem gültigen Autorisierungs-Token von einem einzelnen Gerät ermöglichen, jeden Smart Home-Alarm zu steuern.
CVE-2023-1752 schließlich ermöglicht es jemandem, einen bereits registrierten Hausalarm mit der MAC-Adresse des Geräts zu registrieren. Dadurch kann der Angreifer vollen Zugriff auf das Gerät erlangen und den Alarm aktivieren oder deaktivieren, da er vom Konto des ursprünglichen Besitzers entfernt wird.
Sabetan meldete die Schwachstellen am 4. Januar über die Support-Website des Anbieters an Nexx. "Zu den Versuchen, Nexx zu erreichen, gehören Support-Tickets von verschiedenen Konten, eine öffentliche Telefonnummer, die über OSINT gefunden wurde, persönliche E-Mail-Adressen aus FCC-Anmeldungen, Social-Media-Posts auf Twitter und Facebook sowie die Beteiligung von Behörden und Medien", so Sabetan. Die CISA begann Ende Januar, den IoT-Gerätehersteller zu kontaktieren. Nach mehreren fehlgeschlagenen Versuchen in den folgenden Monaten gab die Behörde am 16. März aufgrund der mangelnden Unterstützung durch den Hersteller eine Empfehlung heraus.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheRegister.
