Nexx negeert lek waardoor aanvaller garagedeuren op afstand kan openen
Een aantal kwetsbaarheden in de apparatuur van smarthomefabrikant Nexx maakt het mogelijk voor aanvallers om garagedeuren vanaf het internet te openen, alarmen uit te schakelen en slimme stekkers te bedienen en het bedrijf heeft ondanks maanden geleden te zijn ingelicht nog altijd geen beveiligingsupdates uitgebracht.
De garageopener van Nexx is via een app en spraakassistent te bedienen, zodat eigenaren hun garagedeur op afstand kunnen openen. Ook het "slimme" alarm en stopcontact van Nexx zijn via een app te bedienen. Alle drie de apparaten maken echter gebruik van hardcoded wachtwoorden. Een aanvaller met toegang tot de app of firmware kan deze wachtwoorden bekijken en toegang tot de MQ Telemetry Server (MQTT) server van Nexx krijgen.
Met informatie van de server is het vervolgens mogelijk om elke garagedeur ter wereld, die van de Nexx-garageopener gebruikmaakt, te openen. Dit geldt ook voor de slimme stopcontacten, die een aanvaller kan in- en uitschakelen. Verder blijkt dat het smart alarm van Nexx, dat gekoppeld kan worden aan alarmsystemen, niet goed controleert of de gebruiker die de opdracht geeft om het alarm in of uit te schakelen, daadwerkelijk de eigenaar is.
Zo kan elke geautoriseerde gebruiker van een Nexx-alarm de alarmsystemen van andere gebruikers uitschakelen. Tevens is het mogelijk voor een aanvaller om al geregistreerde alarmsystemen uit de accounts van Nexx-gebruikers te verwijderen en aan het eigen account toe te voegen, en er zo volledige controle over te krijgen. Naar schatting gaat het om zo'n veertigduizend Nexx-apparaten die wereldwijd worden gebruikt. Volgens onderzoeker Sam Sabetan, die de problemen ontdekten, zijn er meer dan twintigduizend Nexx-accounts actief.
Sabetan waarschuwde Nexx op 4 januari van dit jaar, maar dat leverde niets op. Vervolgens informeerde de onderzoeker het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, maar dat slaagde er ook niet in om contact met de leverancier te krijgen. Zowel het CISA als Sabetan hebben nu details over de kwetsbaarheden openbaar gemaakt. De onderzoeker adviseert eigenaren om hun Nexx-apparatuur uit te schakelen en contact met de leverancier op te nemen.
------------------
Our response time for emails is typically within 1 hour.
Available 7 days a week between hours 9 AM to 9 PM CST.
NEXX'S HOME IS TEXAS
------------------------
Dat verklaart een hoop....
IoT en internet wat zou er mis kunnen gaan.
Alle fouten op het internet van de jaren 90 zijn hier in de herhaling.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!