La información, tendencias y noticias IT de expertos tecnológicos para su empresa

Tu blog de tecnología

  1. Inicio
  2. Blog
  3. Nexx Smart Home, WebSocket
Nexx Smart Home, WebSocket

Nexx Smart Home, WebSocket

Abril 5, 2022

Incibe Cert

Comparte en

Recursos afectados: 

Los siguientes productos de la gama Nexx Smart Home están afectados:

  • Nexx Garage Door Controller (NXG-100B, NXG-200), versiones nxg200v-p3-4-1 y anteriores;
  • Nexx Smart Plug (NXPG-100W), versiones nxpg100cv4-0-0 y anteriores;
  • Nexx Smart Alarm (NXAL-100), versiones nxal100v-p1-9-1 y anteriores.

Descripción: 

Sam Sabetan ha informado de 5 vulnerabilidades, 1 de ellas de severidad crítica, 3 de severidad alta y una de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante recibir información sensible, ejecutar peticiones para las cuales no debería tener permisos o secuestrar dispositivos.

Solución: 

Por el momento, Nexx no ha respondido a las peticiones de trabajar con CISA para la mitigación de las vulnerabilidades mencionadas. CISA recomienda a los usuarios afectados ponerse en contacto con el equipo de soporte técnico de Nexx para obtener información adicional.

Detalle: 

  • Uso de credenciales codificadas. Un atacante con acceso no autenticado a la aplicación movil Nexx Home podría ver las credenciales y acceder al servidor MQ Telemetry Server (MQTT). Se ha asignado el código CVE-2023-1748 para esta vulnerabilidad crítica.
  • Control de acceso inadecuado. Un atacante con un deviceId de NexxHome válido podría enviar solicitudes API que los dispositivos afectados ejecutarían. Se ha asignado el código CVE-2023-1749 para esta vulnerabilidad media.
  • Control de acceso inadecuado. Un atacante con un deviceId de NexxHome válido podría recuperar el historial del dispositivo, establecer la configuración del dispositivo y recuperar información del dispositivo. Se ha asignado el código CVE-2023-1750 para esta vulnerabilidad alta.
  • Los dispositivos afectados mencionados utilizan un servidor WebSocket que no valida si el token de portador de la cabecera de autorización pertenece al dispositivo que intenta asociarse. Esto podría permitir a cualquier usuario autorizado recibir información de alarmas y señales destinadas a otros dispositivos que filtren un deviceId. Se ha asignado el código CVE-2023-1751 para esta vulnerabilidad alta.
  • Las versiones listadas de los dispositivos Nexx Smart Home podrían permitir a cualquier usuario registrar una alarma ya registrada o un dispositivo asociado con solo la dirección MAC del dispositivo. Se ha asignado el código CVE-2023-1752 para esta vulnerabilidad alta.

Fuentes:

ICSA-23-094-01 - Nexx Smart Home Device

NUESTRAS SOLUCIONES
¡Conócelas!
 

OCM-IT

Compártenos tu opinión

Si prefieres una atención más personalizada, contáctanos vía telefónica

¡Llama ahora mismo!

Envíanos tu mensaje

© 2024 OCM-IT®

OCM-IT® Seguridad en Virtualización Tecnológica, utiliza cookies propias y de terceros para ofrecerte una mejor experiencia de usuario. Si continuas con la navegación, consideramos que aceptas este uso. Puedes obtener mayor información en nuestro Aviso de Privacidad.