ClickCease Les appareils domestiques intelligents Nexx vulnérables à des exploits

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Les appareils domestiques intelligents Nexx vulnérables à des exploits

par

April 21, 2023 - TuxCare PR Team

On estime qu'une poignée de failles dans les gadgets domestiques intelligents de Nexx, que les pirates peuvent exploiter, met en danger plus de 40 000 locaux résidentiels et commerciaux.

Cela leur permet notamment de déverrouiller des portes, d'éteindre des appareils et de désarmer des alarmes. Bien que l'agence du gouvernement américain chargée de la cybersécurité et de la sécurité des infrastructures (CISA) et Sam Sabetan, qui a découvert les failles, aient cherché à remédier aux problèmes pendant trois mois, le fabricant de l'appareil a apparemment refusé de répondre.

Face à l'absence de réaction, M. Sabetan et la CISA ont rendu les faits publics afin que les consommateurs puissent réduire les risques. Sabetan recommande aux consommateurs de "débrancher immédiatement tous les appareils Nexx".

Le 4 avril, la CISA a indiqué qu'elle n'avait pas connaissance d'exploits particuliers ciblant ces vulnérabilités. Cependant, maintenant que les informations sont connues, la situation pourrait rapidement changer. Les contrôleurs de portes de garage Nexx (NXG-100B, NXG-200), les prises intelligentes Nexx (NXPG-100W) et les alarmes intelligentes Nexx (NXAL-100) sont tous affectés par les cinq vulnérabilités.

CVE-2023-1748 est le problème le plus critique, pour lequel les gadgets domestiques intelligents de Nexx utilisent des informations d'identification codées en dur. Des personnes malveillantes peuvent voler ces informations d'identification à partir de l'application mobile ou du micrologiciel de Nexx et les utiliser pour accéder à distance à l'équipement Nexx de n'importe quel étranger.

Ces informations d'identification peuvent être utilisées par un attaquant non authentifié pour accéder au serveur Message Queuing Telemetry Transport (MQTT) de Nexx. Les contrôleurs de porte de garage, les prises intelligentes et les autres appareils IoT de Nexx utilisent ce protocole de communication.

Les attaquants peuvent voir toutes les communications MQTT et donner l'ordre de manipuler les portes de garage et les connecteurs électriques d'autres personnes à partir de là. Dans une vidéo diffusée sur YouTube, M. Sabetan a montré comment exploiter ce problème pour déverrouiller à distance des portes de garage.

M. Sabetan prévient également que les prises intelligentes Nexx étant vulnérables à cette faille, les pirates pourraient allumer et éteindre les appareils ménagers connectés à ces prises, y compris les caméras de sécurité.

Deux autres vulnérabilités, CVE-2023-1749 et CVE-2023-1750, sont des vulnérabilités de référence directe d'objet (IDOR) non sécurisées. Cela signifie que les appareils n'effectuent pas suffisamment de vérifications lorsqu'ils reçoivent des instructions, de sorte qu'un attaquant n'a besoin que de l'identifiant de l'appareil NexxHome d'une personne pour contrôler son appareil domestique intelligent via l'API Nexx.

Une troisième faille, CVE-2023-1751, est due à une mauvaise validation des entrées. Les appareils concernés utilisent un serveur WebSocket pour gérer les messages entre le nuage de Nexx et les appareils. Cependant, le serveur ne valide pas correctement si le jeton du porteur dans l'en-tête d'autorisation appartient à l'appareil qui tente de se connecter au nuage. Cela pourrait permettre à n'importe quel utilisateur de Nexx disposant d'un jeton d'autorisation valide provenant d'un seul appareil de contrôler n'importe quelle alarme de maison intelligente.

Enfin, CVE-2023-1752 permet à quelqu'un d'enregistrer une alarme domestique déjà enregistrée en utilisant l'adresse MAC de l'appareil. Cela permet à l'attaquant d'obtenir un accès complet à l'appareil et d'armer ou de désarmer l'alarme, car elle est retirée du compte du propriétaire d'origine.

M. Sabetan a signalé les failles à Nexx via le site Web d'assistance du fournisseur le 4 janvier. "Les efforts pour contacter Nexx comprennent des tickets d'assistance provenant de différents comptes, un numéro de téléphone public trouvé grâce à OSINT, des adresses électroniques personnelles provenant des déclarations à la FCC, des messages sur les médias sociaux sur Twitter et Facebook, ainsi que l'implication du gouvernement et des médias", a-t-il noté. La CISA a commencé à essayer de contacter le fabricant d'appareils IoT plus tard en janvier. Après plusieurs tentatives infructueuses au cours des mois suivants, le 16 mars, l'agence a émis un avis en raison de l'absence de soutien de la part du fabricant.

Les sources de cette pièce incluent un article dans TheRegister.

Résumé
Les appareils domestiques intelligents Nexx vulnérables à des exploits
Nom de l'article
Les appareils domestiques intelligents Nexx vulnérables à des exploits
Description
On estime qu'une poignée de failles dans les gadgets domestiques intelligents de Nexx, que les pirates peuvent exploiter, mettrait en danger des milliers d'utilisateurs.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !