ABD Siber Güvenlik ve Altyapı Güvenlik Dairesi’ne göre, Nexx tarafından satılan garaj kapısı denetleyicileri, akıllı fişler ve akıllı alarmlar, siber saldırganların ev garaj kapılarını kırmasına, akıllı prizleri ele geçirmesine ve akıllı alarmların uzaktan kontrolünü ele geçirmesine olanak tanıyan siber güvenlik açıkları içeriyor ( CİSA).
Bağımsız siber güvenlik araştırmacısı Sam Sabetan, 2022’nin sonlarında birkaç güvenlik açığı keşfettiğini ve sorunlar hakkında Nexx’i uyardığını bildirmesine rağmen, şirket henüz yanıt vermedi.
Nexx, Dark Reading’in yorum talebine de yanıt vermedi.
CISA’nın 4 Nisan uyarısı, üç belirli Nexx Nesnelerin İnterneti (IoT) ürünü için geçerlidir: Nexx Garaj Kapısı Kontrol Cihazı (NXG-100B, NXG-200), sürüm nxg200v-p3-4-1 ve öncesi; Nexx Smart Plug (NXPG-100W), sürüm nxpg100cv4-0-0 ve öncesi; ve Nexx Smart Alarm (NXAL-100), sürüm nxal100v-p1-9-1 ve öncesi.
CISA’ya göre, Nexx ürünleri tanımlanmış beş güvenlik açığına sahiptir ve bunların en yükseği 9,3’lük kritik bir CVSS güvenlik açığı önem puanına sahiptir.
- CVE-2023-1748: Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı CWE-798 (CVSS 9.3)
- CVE-2023-1749: Kullanıcı Kontrollü Anahtar CWE-639 (CVSS 6.5) Aracılığıyla Yetki Atlama
- CVE 2023-1750: Kullanıcı Kontrollü Anahtar CWE-639 (CVSS 7.1) Üzerinden Yetki Atlama
- CVE-2023-1751: Hatalı Giriş Doğrulaması CWE-20 (CVSS 7.5)
- CVE-2023-1752: Hatalı Kimlik Doğrulama CWE-287 (CVSS 8.1)
Nexx bir düzeltme yayınlayana kadar, Sabetan ve CISA, kullanıcıların etkilenen cihazların fişini çekmelerini önerir.
Sabetan yaptığı açıklamada, “Bir Nexx müşterisiyseniz, cihazlarınızın bağlantısını kesmenizi ve çözüm adımları hakkında bilgi almak için Nexx ile iletişime geçmenizi şiddetle tavsiye ederim.” “Tüketicilerin IoT cihazlarıyla ilişkili potansiyel risklerin farkında olması ve üreticilerden daha yüksek güvenlik standartları talep etmesi çok önemlidir.”