Beberapa kerentanan yang ditemukan perangkat pintar Nexx dapat dieksploitasi untuk mengontrol pintu garasi, menonaktifkan alarm rumah, atau colokan pintar.
Ada lima masalah keamanan yang diungkapkan kepada publik, dengan skor keparahan mulai dari sedang hingga kritis yang belum diakui dan diperbaiki oleh vendor.
Penemuan paling signifikan adalah penggunaan kredensial universal yang dikodekan dalam firmware dan juga mudah diperoleh dari komunikasi klien dengan API Nexx.
Kerentanan juga dapat dimanfaatkan untuk mengidentifikasi pengguna Nexx, memungkinkan penyerang mengumpulkan alamat email, ID perangkat, dan nama depan.
Video yang menunjukkan dampak kelemahan keamanan, dilacak sebagai CVE-2023–1748, tersedia di bawah. Itu bisa digunakan untuk membuka pintu garasi yang dikendalikan Nexx.
Pada tanggal 4 Januari, peneliti keamanan independen Sam Sabetan menerbitkan a Langganan tentang kekurangannya, menjelaskan bagaimana penyerang dapat memanfaatkannya dalam kehidupan nyata.
Diperkirakan setidaknya ada 40.000 perangkat Nexx yang terkait dengan 20.000 akun. Karena beratnya masalah keamanan, US Cybersecurity and Infrastructure Security Agency (CISA) juga melakukannya menerbitkan peringatan yang relevan.
CISA memperingatkan pemilik produk Nexx bahwa penyerang dapat mengakses informasi sensitif, menjalankan permintaan API, atau membajak perangkat mereka.
Detail kerentanan
Sabetan menemukan kerentanan yang tercantum di bawah ini, yang memengaruhi Nexx Garage Door Controllers NXG-100B dan NGX-200 menjalankan versi nxg200v-p3-4-1 atau lebih lama, Nexx Smart Plug NXPG-100W menjalankan versi nxpg100cv4-0-0 dan lebih lama, dan Nexx Smart Alarm NXAL-100 menjalankan versi nxal100v-p1-9-1 dan yang lebih lama.
- CVE-2023-1748: Penggunaan kredensial hardcode di perangkat yang disebutkan, memungkinkan siapa saja untuk mengakses Server Telemetri MQ dan mengontrol perangkat pelanggan dari jarak jauh. (skor CVSS: 9.3)
- CVE-2023-1749: Kontrol akses yang tidak benar pada permintaan API dikirim ke ID perangkat yang valid. (skor CVSS: 6.5)
- CVE-2023-1750: Kontrol akses yang tidak tepat memungkinkan penyerang mengambil riwayat perangkat, informasi, dan mengubah pengaturannya. (skor CVSS: 7.1)
- CVE-2023-1751: Validasi input yang salah, gagal menghubungkan token di header otorisasi dengan ID perangkat. (skor CVSS: 7,5)
- CVE-2023-1752: Kontrol autentikasi yang tidak tepat yang memungkinkan pengguna untuk mendaftarkan perangkat Nexx yang sudah terdaftar menggunakan alamat MAC-nya. (skor CVSS: 8.1)
Yang paling parah dari lima kelemahan, CVE-2023-1748, adalah hasil dari Nexx Cloud yang menetapkan kata sandi universal untuk semua perangkat yang baru didaftarkan melalui aplikasi seluler Android atau iOS Nexx Home.
Kata sandi ini tersedia di pertukaran data API dan firmware yang dikirimkan bersama perangkat, sehingga mudah bagi penyerang untuk mendapatkannya dan mengirimkan perintah ke perangkat melalui server MQTT, yang memfasilitasi komunikasi untuk IoT Nexx.
Meskipun peneliti telah mencoba berkali-kali untuk melaporkan kelemahan ke Nexx, semua pesan tetap tanpa balasan, menyebabkan masalah tetap tidak diperbaiki.
“Nexx belum membalas korespondensi apa pun dari saya, DHS (CISA dan US-CERT) atau VICE Media Group. Saya telah memverifikasi secara independen bahwa Nexx sengaja mengabaikan semua upaya kami untuk membantu perbaikan dan membiarkan kelemahan kritis ini terus memengaruhi pelanggan mereka” – Sam Sabetan
BleepingComputer telah menghubungi Nexx secara independen untuk meminta komentar di atas, tetapi kami belum menerima tanggapan pada saat publikasi.
Sementara itu, untuk mengurangi risiko dari serangan ini hingga tambalan perbaikan disediakan oleh vendor, disarankan untuk menonaktifkan konektivitas internet untuk perangkat Nexx Anda, menempatkannya di belakang firewall, dan mengisolasinya dari jaringan penting.
Jika diperlukan untuk mengakses atau mengontrol perangkat Nexx dari jarak jauh, lakukan hanya melalui koneksi VPN (virtual private network) yang mengenkripsi transmisi data.
