Apriporta smart per garage vulnerabili, a rischio sicurezza e privacy degli utilizzatori

Il ricercatore di sicurezza indipendente Sam Sabetan ha scoperto cinque vulnerabilità critiche in diversi dispositivi intelligenti prodotti dalla società americana Nexx, tra cui Smart Garage Controller, Smart allarm e Smart plug che se sfruttate potrebbero consentire ad un utente malintenzionato da remoto di aprire e chiudere le porte di un garage, assumere il controllo di allarmi e attivare/disattivare le prese smart degli utilizzatori.

La divulgazione responsabile del ricercatore

Il 4 aprile, Sabetan (dopo che dal 4 gennaio 2023 ha responsabilmente cercato di avvisare, ma invano, il fornitore) ha pubblicato un articolo sulle falle riscontrate, spiegando come un utente malintenzionato potrebbe sfruttarle nella vita reale stimando che oltre 40.000 dispositivi, situati in immobili residenziali e commerciali, sarebbero coinvolti con più di 20.000 account Nexx attivi.

Non è stato fornito nessun testo alternativo per questa immagine
Cronologia della divulgazione (Fonte Sam Sabetan)

Le vulnerabilità, i dettagli della CISA

A causa della gravità del problema di sicurezza, anche la CISA (Department of Homeland Security Cybersecurity and Infrastructure Security Agency) ha pubblicato un avviso avvertendo i proprietari dei prodotti Nexx che gli attaccanti potrebbero accedere a informazioni sensibili, eseguire richieste API o dirottare i dispositivi e assegnando i seguenti cinque CVE:

  • Utilizzo di credenziali hardcoded CWE-798 ( CVE-2023–1748, CVSS v3: 9.3)
  • Bypass dell’autorizzazione tramite User-controlled key CWE-639 ( CVE-2023–1749 , CVSS v3: 6.5)
  • Bypass dell’autorizzazione tramite User-controlled key CWE-639 ( CVE-2023–1750 , CVSS v3: 7.1)
  • Convalida input impropria CWE-20 ( CVE-2023–1751 , CVSS v3: 7.5)
  • Convalida dell’autenticazione impropria CWE-287 ( CVE-2023–1752 , CVSS v3: 8.1)

Il più grave dei difetti

Il più grave dei cinque difetti (CVE-2023-1748) sarebbe l’uso di credenziali universali hardcoded contenuti nei firmware dei dispositivi e anche facili da ottenere dalla comunicazione API all’interno dell’app mobile Nexx Home (app compatibile con Android e iOS).

Non è stato fornito nessun testo alternativo per questa immagine
Credenziali trapelate durante la comunicazione dell’API Nexx (Fonte Sam Sabetan)

Quest’ultimo aspetto potrebbe consentire agli attaccanti di ottenere le credenziali e inviare comandi ai dispositivi tramite il server MQTT previsto per la comunicazione con gli IoT Nexx.

Non è stato fornito nessun testo alternativo per questa immagine
Server MQTT, dati sensibili pubblicamente disponibili con credenziali trapelate (Fonte Sam Sabetan)

Di seguito si riporta il video pubblicato dal ricercatore che mostra come sfruttare la falla CVE-2023–1748 per aprire qualsiasi porta garage controllata tramite dispositivi Nexx.

Poiché tale vulnerabilità può anche essere sfruttata per identificare gli utenti Nexx, consentendo a un utente malintenzionato di raccogliere indirizzi e-mail, ID dispositivo e nomi, la falla impatterebbe oltre che sulla sicurezza anche sulla privacy dei clienti.

Consigli di mitigazione

Per mitigare il rischio di questi attacchi, Sabetan che per il momento non ha ancora ricevuto alcun riscontro da Nexx consiglia, fino a quando il fornitore non renderà disponibile una patch correttiva, di disabilitare la connettività Internet per tali dispositivi smart.

Mentre miravo ad aderire a un processo di divulgazione responsabile, Nexx ha scelto di non collaborare con me, i media o il governo, lasciando queste vulnerabilità critiche irrisolte. Se sei un cliente Nexx, ti consiglio vivamente di disconnettere i tuoi dispositivi e di contattare Nexx per chiedere informazioni sui passaggi di riparazione.

L’articolo originale è stato pubblicato l’8 Aprile 2023 su Linkedin.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.