La información, tendencias y noticias IT de expertos tecnológicos para su empresa

Tu blog de tecnología

Nexx Smart Home, WebSocket

Nexx Smart Home, WebSocket

Abril 5, 2022

Incibe Cert

Comparte en

Recursos afectados: 

Los siguientes productos de la gama Nexx Smart Home están afectados:

  • Nexx Garage Door Controller (NXG-100B, NXG-200), versiones nxg200v-p3-4-1 y anteriores;
  • Nexx Smart Plug (NXPG-100W), versiones nxpg100cv4-0-0 y anteriores;
  • Nexx Smart Alarm (NXAL-100), versiones nxal100v-p1-9-1 y anteriores.

Descripción: 

Sam Sabetan ha informado de 5 vulnerabilidades, 1 de ellas de severidad crítica, 3 de severidad alta y una de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante recibir información sensible, ejecutar peticiones para las cuales no debería tener permisos o secuestrar dispositivos.

Solución: 

Por el momento, Nexx no ha respondido a las peticiones de trabajar con CISA para la mitigación de las vulnerabilidades mencionadas. CISA recomienda a los usuarios afectados ponerse en contacto con el equipo de soporte técnico de Nexx para obtener información adicional.

Detalle: 

  • Uso de credenciales codificadas. Un atacante con acceso no autenticado a la aplicación movil Nexx Home podría ver las credenciales y acceder al servidor MQ Telemetry Server (MQTT). Se ha asignado el código CVE-2023-1748 para esta vulnerabilidad crítica.
  • Control de acceso inadecuado. Un atacante con un deviceId de NexxHome válido podría enviar solicitudes API que los dispositivos afectados ejecutarían. Se ha asignado el código CVE-2023-1749 para esta vulnerabilidad media.
  • Control de acceso inadecuado. Un atacante con un deviceId de NexxHome válido podría recuperar el historial del dispositivo, establecer la configuración del dispositivo y recuperar información del dispositivo. Se ha asignado el código CVE-2023-1750 para esta vulnerabilidad alta.
  • Los dispositivos afectados mencionados utilizan un servidor WebSocket que no valida si el token de portador de la cabecera de autorización pertenece al dispositivo que intenta asociarse. Esto podría permitir a cualquier usuario autorizado recibir información de alarmas y señales destinadas a otros dispositivos que filtren un deviceId. Se ha asignado el código CVE-2023-1751 para esta vulnerabilidad alta.
  • Las versiones listadas de los dispositivos Nexx Smart Home podrían permitir a cualquier usuario registrar una alarma ya registrada o un dispositivo asociado con solo la dirección MAC del dispositivo. Se ha asignado el código CVE-2023-1752 para esta vulnerabilidad alta.

Fuentes:

ICSA-23-094-01 - Nexx Smart Home Device

Compártenos tu opinión

Si prefieres una atención más personalizada, contáctanos vía telefónica

Envíanos tu mensaje

OCM-IT® Seguridad en Virtualización Tecnológica, utiliza cookies propias y de terceros para ofrecerte una mejor experiencia de usuario. Si continuas con la navegación, consideramos que aceptas este uso. Puedes obtener mayor información en nuestro Aviso de Privacidad.