Une poignée de bogues dans les appareils domestiques intelligents de Nexx peuvent être exploités par des escrocs pour, entre autres, ouvrir des portes, éteindre des appareils et désactiver des alarmes. Plus de 40 000 de ces gadgets dans les propriétés résidentielles et commerciales seraient vulnérables après l’inaction du fabricant.
Après que le secteur de l’Internet des objets aurait ignoré les tentatives de plus de trois mois de Sam Sabétanqui a découvert les vulnérabilités, et la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain pour aider à corriger les failles, à la fois Sabetan et Oncle Sam sont devenus publics avec les détails afin que les utilisateurs puissent minimiser leurs risques.
Ou mieux encore, comme le suggère Sabetan, “débrancher immédiatement tous les appareils Nexx.”
Le registre a essayé de contacter Nexx pour cette histoire, et le fabricant n’a pas non plus répondu à nos demandes.
Au 4 avril, la CISA a déclaré qu’elle n’était pas au courant des exploits ciblant spécifiquement ces vulnérabilités, bien que maintenant que les détails soient connus, cela pourrait changer rapidement.
Les cinq vulnérabilités affectent les contrôleurs de porte de garage Nexx (NXG-100B, NXG-200) avec la version de firmware nxg200v-p3-4-1 et antérieure ; Prises intelligentes Nexx (NXPG-100W) version nxpg100cv4-0-0 et antérieure ; et les alarmes intelligentes Nexx (NXAL-100) version nxal100v-p1-9-1 et antérieures.
CVE-2023-1748 est le défaut le plus grave, et il a reçu un score de gravité CVSS de 9,3 sur 10. Essentiellement, les produits de maison intelligente Nexx vulnérables utilisent des informations d’identification codées en dur. Les malfaiteurs peuvent facilement obtenir ces crédits magiques à partir de l’application mobile ou du micrologiciel de Nexx, et les utiliser pour accéder à distance au matériel Nexx de n’importe quel étranger.
Un attaquant non authentifié peut utiliser ces informations d’identification pour accéder au serveur MQTT (Message Queuing Telemetry Transport) de Nexx – MQTT est le protocole de messagerie utilisé par les contrôleurs de porte de garage, les prises intelligentes et d’autres appareils IoT de Nexx. À partir de là, le malfaiteur peut voir tous les messages MQTT pour les clients et les appareils de Nexx, et envoyer des commandes pour contrôler les portes de garage et les prises de courant des étrangers.
C’est la vulnérabilité que Sabetan a déclarée pouvant être exploitée pour ouvrir à distance les portes de garage, et il a partagé un vidéo à ce sujet sur YouTube.
Étant donné que les prises intelligentes Nexx sont vulnérables à cette faille, les malfaiteurs pourraient allumer et éteindre les appareils électroménagers connectés à ces prises, “ou même les caméras de sécurité”, a ajouté Sabetan.
Les deux vulnérabilités suivantes, CVE-2023-1749 et CVE-2023-1750 sont des vulnérabilités de référence directe d’objet (IDOR) non sécurisées. C’est une façon élégante de dire que les appareils n’effectuent pas suffisamment de vérifications lorsqu’on leur dit de faire quelque chose. Dans ce cas, un attaquant a juste besoin de l’ID d’appareil NexxHome de quelqu’un pour envoyer des instructions à l’appareil domestique intelligent de cette personne, via l’API Nexx, et le matériel l’obéira simplement.
Un troisième défaut, CVE-2023-1751, est dû à une mauvaise validation des entrées. Les appareils concernés utilisent un serveur WebSocket pour gérer les messages entre le cloud de Nexx et les appareils.
Le serveur, cependant, ne valide pas correctement si le jeton du porteur dans l’en-tête d’autorisation appartient à l’appareil essayant de se connecter au cloud. Cela pourrait permettre à tout utilisateur Nexx disposant d’un jeton d’autorisation valide d’un seul appareil de contrôler n’importe quelle alarme de maison intelligente.
Enfin, CVE-2023-1752 permet à quelqu’un d’enregistrer une alarme domestique déjà enregistrée à l’aide de l’adresse MAC de l’appareil. “En conséquence, l’appareil est supprimé du compte du propriétaire d’origine, permettant à l’attaquant d’obtenir un accès complet et d’armer ou de désarmer l’alarme”, a déclaré Sabetan.
Après avoir trouvé les failles, Sabetan a contacté Nexx via le site Web d’assistance du fournisseur le 4 janvier. Twitter et Facebook, ainsi que l’implication du gouvernement et des médias », a-t-il noté.
CISA a commencé à essayer de contacter le fabricant d’appareils IoT plus tard en janvier. Après plusieurs autres tentatives infructueuses au cours des mois suivants, le 16 mars, l’agence a émis un avis en raison du manque de soutien du fabricant. ®
