Nexx漏洞允许打开车库门并控制警报和插头

Nexx制造的多个智能设备中的一系列漏洞可被利用来远程打开车库门，并控制警报和插头。

2022年底，研究人员Sam Sabetan在Nexx制造的几款智能设备中发现了一系列严重漏洞，包括智能车库门开启器、警报器和插头。远程攻击者可以利用这些漏洞打开和关闭车库门、控制警报以及为任何客户打开和关闭智能插头。

该专家试图向Nexx报告这些缺陷，但该公司从未对报告做出回复。

“Nexx没有回复我本人、国土安全部（CISA 和 US-CERT）或VICE媒体集团的任何信件。”“我已经独立证实Nexx故意无视我们所有协助补救的尝试，并让这些严重缺陷继续影响他们的客户。”

研究人员向美国国土安全部网络安全和基础设施安全局(CISA)报告了这些问题，CISA分配了以下五个CVE：

1. 使用硬编码凭证 CWE-798（CVE-2023–1748，CVSS3.0：8.6）
2. 通过用户控制的密钥绕过授权 CWE-639（CVE-2023–1749，CVSS3.0：6.5）
3. 通过用户控制的密钥绕过授权 CWE-639 (CVE-2023–1750，CVSS3.0: 7.1)
4. 输入验证 CWE-20 不当（CVE-2023–1751，CVSS3.0：7.5）
5. 身份验证验证不当 CWE-287（CVE-2023–1752，CVSS3.0：8.1）

专家估计，位于住宅和商业物业中的40,000多台设备受到上述问题的影响。他还确定超过20,000人拥有活跃的Nexx账户。

为降低利用上述缺陷的风险，建议禁用易受攻击的Nexx设备的互联网连接或使用防火墙保护它们。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5556.html