Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), birkaç Nexx Akıllı Ev Cihazı güvenlik açığı hakkında bir ICS danışma belgesi yayınladı.
Rapora göre bilgisayar korsanları, yetkisiz erişim elde etmek, akıllı cihazların kimlik bilgilerini ele geçirmek ve etkilenen cihazları uzaktan kontrol etmek için Nexx güvenlik açıklarından yararlanabilir.
Nexx, garaj kapısı kontrolörleri, akıllı prizler ve akıllı alarmlar dahil olmak üzere koruyucu ev otomasyonu hizmetleri sunar.
Nexx akıllı ev cihazı güvenlik açığı
Nexx akıllı ev cihazı güvenlik açıkları, nxg200v-p3-4-1 ve önceki sürümlerin Nexx garaj kapısı denetleyicisi, NXG-100B ve NXG-200’ü etkiler. Bilgisayar korsanları, nxpg100cv4-0-0 ve önceki sürümlerin Nexx Smart Plug, NXPG-100W’ye de erişebilir.
Nexx akıllı ev cihazı güvenlik açığı, nxal100v-p1-9-1 ve önceki sürümlerin Nexx akıllı alarmı, NXAL-100’ünde de bulundu. Akıllı ev kontrol çözümlerini tercih eden kullanıcılar, bunun yerine gelecek yamalar yüklenmezse bilgisayar korsanlığıyla karşı karşıya kalabilir.
Nexx akıllı ev cihazı güvenlik açıkları açıklandı
ICS danışma belgesi, aşağıdaki Nexx akıllı ev cihazı güvenlik açıklarını vurguladı –
- CVSS v3 taban puanı 9,3 olan CVE-2023-1748, siber suçluların Nexx ev mobil uygulamasına ve MQ Telemetri Sunucusuna erişmesine izin verebilir. Hedeflenen evlerdeki garaj kapısının ve akıllı prizlerin fonksiyonlarını uzaktan kontrol edebiliyorlar.
- CVSS v3 taban puanı 6,5 olan CVE-2023-1749, bilgisayar korsanlarının yama uygulanmamış cihazlarda erişim kontrolü elde etmesine olanak sağlayabilir. Cihaz kimliğini kullanarak kötü niyetli görevleri gerçekleştirmek için Uygulama Programlama Arayüzü (API) istekleri yapabilirler. Bu, Nexx akıllı ev cihazı güvenlik açığı kullanılarak yapılan bir yetkilendirme bypass’ıdır.
- CVSS v3 taban puanı 7,1 olan CVE-2023-1750, cihaz geçmişine erişim, etkilenen cihazların ayarlarını değiştirme ve cihazla ilgili diğer verilere erişim dahil olmak üzere daha fazla bilgi elde etmek için kullanılabilir.
- CVSS v3 taban puanı 7,5 olan CVE-2023-1751, bilgisayar korsanları diğer bağlı cihazlara ulaşan alarm bildirimleri ve sinyaller alabilir. Bu uygunsuz giriş doğrulama güvenlik açığı, yetkilendirme başlığındaki taşıyıcı jetonun kendisiyle bağlanmaya çalışan başka bir cihazla eşleşmesi durumunda doğrulamayı atlar. Bu, birkaç bağlı cihazı yetkisiz erişim riskine sokar.
- CVSS v3 taban puanı 8.1 olan CVE-2023-1752, bilgisayar korsanlarının kayıtlı bir alarmı veya başka herhangi bir cihazı yalnızca MAC adresine bağlamasına izin verir.
Endüstrilerde ve daha büyük işletmelerde kullanılan akıllı ve bağlantılı cihazlar, Nexx akıllı ev cihazı güvenlik açıklarından yararlanılarak etkilenebilecek genişletilmiş güvenlik sunar.
Ticari tesisler, özellikle kritik altyapı sektörleri dahil olmak üzere dünyanın dört bir yanındaki kullanıcılar, cihazları en son sürümlerine güncellemeli ve yamaları kullanıma sunuldukça güncellemelidir.
CISA ICS danışma belgesi, Nexx’in güvenlik açıklarını yamalamak için CISA ile birlikte çalıştığını belirtti. Kullanıcılardan, cihazların ağ maruziyetini mümkün olduğunca sınırlamaları ve güvenlik duvarlarını korumaları istenir. Ayrıca, güvenli VPN’ler kullanarak Nexx cihazlarına erişmeleri istenir.