ABD Siber Güvenlik ve Altyapı Güvenlik Dairesi’ne göre, Nexx tarafından satılan garaj kapısı denetleyicileri, akıllı fişler ve akıllı alarmlar, siber saldırganların ev garaj kapılarını kırmasına, akıllı prizleri ele geçirmesine ve akıllı alarmların uzaktan kontrolünü ele geçirmesine olanak tanıyan siber güvenlik açıkları içeriyor ( CİSA).
Bağımsız siber güvenlik araştırmacısı Sam Sabetan, 2022’nin sonlarında birkaç güvenlik açığı keşfettiğini ve sorunlar hakkında Nexx’i uyardığını bildirmesine rağmen, şirket henüz yanıt vermedi.
Nexx, Dark Reading’in yorum talebine de yanıt vermedi.
CISA’dan 4 Nisan uyarısı üç özel Nexx Nesnelerin İnterneti (IoT) ürünü için geçerlidir: Nexx Garaj Kapısı Kontrolörü (NXG-100B, NXG-200), sürüm nxg200v-p3-4-1 ve öncesi; Nexx Smart Plug (NXPG-100W), sürüm nxpg100cv4-0-0 ve öncesi; ve Nexx Smart Alarm (NXAL-100), sürüm nxal100v-p1-9-1 ve öncesi.
CISA’ya göre, Nexx ürünleri tanımlanmış beş güvenlik açığına sahiptir ve bunların en yükseği 9,3’lük kritik CVSS güvenlik açığı önem puanına sahiptir.
- CVE-2023-1748: Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı CWE-798 (CVSS 9.3)
- CVE-2023-1749: Kullanıcı Kontrollü Anahtar CWE-639 (CVSS 6.5) Aracılığıyla Yetki Atlama
- CVE 2023-1750: Kullanıcı Kontrollü Anahtar CWE-639 (CVSS 7.1) Üzerinden Yetki Atlama
- CVE-2023-1751: Hatalı Giriş Doğrulaması CWE-20 (CVSS 7.5)
- CVE-2023-1752: Hatalı Kimlik Doğrulama CWE-287 (CVSS 8.1)
Nexx bir düzeltme yayınlayana kadar, Sabetan ve CISA, kullanıcıların etkilenen cihazların fişini çekmelerini önerir.
“Bir Nexx müşterisiyseniz, cihazlarınızın bağlantısını kesmenizi ve çözüm adımları hakkında bilgi almak için Nexx ile iletişime geçmenizi şiddetle tavsiye ederim.” Sabetan yaptığı açıklamada şunları söyledi:. “Tüketicilerin IoT cihazlarıyla ilişkili potansiyel risklerin farkında olması ve üreticilerden daha yüksek güvenlik standartları talep etmesi çok önemlidir.”