Поделиться
Электронные замки квартир и гаражей в США попали во власть хакеров и лишились смысла. Разработчик на проблему не реагирует
Разработки компании Nexx для удаленного управления дверьми и охранными сигнализациями содержат критические уязвимости, делающие их бессмысленными. Вендор не реагирует на сообщения экспертов по безопасности и CISA.
Бессмысленная защита
Многочисленные уязвимости, выявленные в охранных smart-устройствах техасской фирмы Nexx, делают их фактически бесполезными и даже представляющими некоторую угрозу своим пользователям. Эксперты по безопасности опубликовали сведения о пяти уязвимостях в диапазоне от средней до критической после того, как разработчик не отреагировал на попытки проинформировать его частным порядком.
Устройства Nexx, такие как Smart Alarm, Smart Garage, Smart Plug позволяют дистанционно открывать, закрывать и блокировать двери гаражей, включать и выключать домашнюю сигнализацию и управлять электрическими розетками в доме. Устройства управляются через специальное мобильное приложение, которое выпускает та же компания Nexx.
Наиболее существенной из выявленных уязвимостей оказалось наличие универсальных (то есть, встроенных в код программной оболочки) реквизитов доступа. Мало того, их легко получить, перехватывая обмен данными между клиентом и API Nexx.
С помощью этой же уязвимости можно осуществлять перехват почтовых адресов пользователей устройств Nexx и даже их имена, а также идентификаторов конечных устройств. Это не говоря уже о том, что с помощью уязвимости можно удаленно открывать запертые двери гаражей и отключать сигнализации.
На данный момент известно как минимум о 40 тыс. устройствах Nexx, привязанных к 20 тыс. пользовательских аккаунтов.
Вендор молчит
Эксперт по кибербезопасности Сэм Сэбетан (Sam Sabetan) опубликовал подробную информацию о возможности использования этих уязвимостей 4 апреля 2023 г. В своей публикации он указал, что работал в сотрудничестве с Агентством по кибербезопасности и защите инфраструктуры США (CISA).
CISA со своей стороны опубликовало бюллетень с предупреждением и присвоило выявленным уязвимостям CVE-индексы: CVE-2023–1748 (9,3 балла, встроенные реквизиты административного доступа), CVE-2023–1749 (6,5 балла, обход авторизации с помощью управляющего ключа), CVE-2023–1750 (7,1 балла, обход авторизации с помощью управляющего ключа), CVE-2023–1751 (7,5 балла, некорректная валидация вводимых значений), CVE-2023–1752 (8,1 балла по шкале CVSS, некорректная валидация авторизационных данных).
Самая опасная проблема — CVE-2023–1748 — связана с тем, что облачная система Nexx Cloud присваивает универсальный пароль всем новым устройства, зарегистрированным через мобильное приложение Nexx Home (Android, iOS).
Этот пароль присутствует в обмене данными с API и в программной оболочке устройств, так что хакеры с легкостью могут его перехватить и отправлять конечным устройствам команды через сервере MQTT, используемый для связи с устройствами Nexx.
Несмотря на неоднократные попытки связаться с Nexx как со стороны Сэбетана, так и сотрудников CISA, в компании предпочли не реагировать вовсе. На запросы журналистов в компании тоже не отвечают. Никаких обновлений вендор тоже пока не выпускал.
С сайта Nexx исчезли продуктовые страницы, посвященные проблемным устройствам: попытки перехода с главной страницы на другие разделы выводят на страницы-заглушки.
На данном этапе защититься от уязвимостей возможно только через отключение устройств Nexx от доступа извне и помещения их в изолированную сеть за файерволлом. Если к ним необходим удаленный доступ, то подключаться следует только через VPN-соединение.
«Действия, а точнее, бездействие вендора — это очень красноречивый пример безответственного отношения к своим разработкам и безопасности, — говорит Михаил Зайцев, технический директор компании SEQ. — Наличие встроенных универсальных реквизитов — это довольно распространенная ошибка, свидетельствующая о низкой квалификации программистов. Похоже, что в Nexx отмалчиваются потому, что не знают, как исправить проблему. Публикация сведений об уязвимостях и бюллетень CISA теперь необратимо подорвут репутацию Nexx».
Короткая ссылка
