Il ricercatore di sicurezza indipendente Sam Sabetan ha scoperto cinque vulnerabilità critiche in diversi dispositivi intelligenti prodotti dalla società americana Nexx, tra cui Smart Garage Controller, Smart allarm e Smart plug che se sfruttate potrebbero consentire ad un utente malintenzionato da remoto di aprire e chiudere le porte di un garage, assumere il controllo di allarmi e attivare/disattivare le prese smart degli utilizzatori.
La divulgazione responsabile del ricercatore
Il 4 aprile, Sabetan (dopo che dal 4 gennaio 2023 ha responsabilmente cercato di avvisare, ma invano, il fornitore) ha pubblicato un articolo sulle falle riscontrate, spiegando come un utente malintenzionato potrebbe sfruttarle nella vita reale stimando che oltre 40.000 dispositivi, situati in immobili residenziali e commerciali, sarebbero coinvolti con più di 20.000 account Nexx attivi.
Le vulnerabilità, i dettagli della CISA
A causa della gravità del problema di sicurezza, anche la CISA (Department of Homeland Security Cybersecurity and Infrastructure Security Agency) ha pubblicato un avviso avvertendo i proprietari dei prodotti Nexx che gli attaccanti potrebbero accedere a informazioni sensibili, eseguire richieste API o dirottare i dispositivi e assegnando i seguenti cinque CVE:
- Utilizzo di credenziali hardcoded CWE-798 ( CVE-2023–1748, CVSS v3: 9.3)
- Bypass dell’autorizzazione tramite User-controlled key CWE-639 ( CVE-2023–1749 , CVSS v3: 6.5)
- Bypass dell’autorizzazione tramite User-controlled key CWE-639 ( CVE-2023–1750 , CVSS v3: 7.1)
- Convalida input impropria CWE-20 ( CVE-2023–1751 , CVSS v3: 7.5)
- Convalida dell’autenticazione impropria CWE-287 ( CVE-2023–1752 , CVSS v3: 8.1)
Il più grave dei difetti
Il più grave dei cinque difetti (CVE-2023-1748) sarebbe l’uso di credenziali universali hardcoded contenuti nei firmware dei dispositivi e anche facili da ottenere dalla comunicazione API all’interno dell’app mobile Nexx Home (app compatibile con Android e iOS).
Quest’ultimo aspetto potrebbe consentire agli attaccanti di ottenere le credenziali e inviare comandi ai dispositivi tramite il server MQTT previsto per la comunicazione con gli IoT Nexx.
Di seguito si riporta il video pubblicato dal ricercatore che mostra come sfruttare la falla CVE-2023–1748 per aprire qualsiasi porta garage controllata tramite dispositivi Nexx.
Poiché tale vulnerabilità può anche essere sfruttata per identificare gli utenti Nexx, consentendo a un utente malintenzionato di raccogliere indirizzi e-mail, ID dispositivo e nomi, la falla impatterebbe oltre che sulla sicurezza anche sulla privacy dei clienti.
Consigli di mitigazione
Per mitigare il rischio di questi attacchi, Sabetan che per il momento non ha ancora ricevuto alcun riscontro da Nexx consiglia, fino a quando il fornitore non renderà disponibile una patch correttiva, di disabilitare la connettività Internet per tali dispositivi smart.
“Mentre miravo ad aderire a un processo di divulgazione responsabile, Nexx ha scelto di non collaborare con me, i media o il governo, lasciando queste vulnerabilità critiche irrisolte. Se sei un cliente Nexx, ti consiglio vivamente di disconnettere i tuoi dispositivi e di contattare Nexx per chiedere informazioni sui passaggi di riparazione.“
L’articolo originale è stato pubblicato l’8 Aprile 2023 su Linkedin.