Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   У хакеров есть возможность удалённо открывать умные гаражные ворота Nexx (http://txgate.io:443/showthread.php?t=10265)

Artifact 05-12-2025 05:14 AM

Исследователь безопасности рассказал, что уязвимость в контроллере гаражных ворот Nexx позволяет злоумышленникам удалённо открывать любые ворота, а нужных пользователей хакеры могут найти с помощью адреса электронной почты или фамилии. Исследователь отметил, что неоднократно сообщал об ошибке в компанию, но его запросы игнорировали.
Суть уязвимости заключается в том, что во время регистрации нового пользователя система задаёт универсальный пароль для доступа к фирменному облаку Nexx Cloud. Данные компания передаёт с помощью протокола MQTT (Message Queuing Telemetry Transport). Исследователь отметил, что важно использовать уникальные пароли для каждого устройства, но компания проигнорировала это и унифицировала процесс авторизации.
https://hsto.org/r/w1560/getpro/habr...1a0c56634a.png
Утечка учётных данных в ответе Nexx API
С помощью API-запроса злоумышленники могут получить список активных пользователей системы с уникальными идентификаторами в виде адресов электронной почты и фамилий. Эти данные вместе с одинаковым для всех паролем можно использовать для формирования API-запроса для открытия гаражных ворот. Исследователь опубликовал ролик, в котором открыл и закрыл таким образом собственные ворота, но он утверждает, что мог сделать это с воротами любого другого пользователя в облаке Nexx Cloud.
https://hsto.org/r/w1560/getpro/habr...02e6b9add4.png
Список конфиденциальных данных пользователей в MQTT
Также к облачной системе подключены умные розетки компании, и уязвимость можно использовать для управления ими. Вместе с этим в контроллерах от Nexx нашлись и другие серьёзные ошибки. К примеру, контроллеры подключаются к домашней системе сигнализации, и злоумышленники могут перехватывать сигналы тревоги и менять их значения. Также хакеры могут отключать пользователей от облака Nexx Cloud и переоформлять их аккаунты на себя, что даёт полный доступ к системе.
https://youtu.be/kD1cBfv9To8
Исследователь сообщил в компанию об уязвимостях 4 января 2023 года, но служба поддержки проигнорировала обращение. После этого специалист связался с Агентством по кибербезопасности и безопасности инфраструктуры США, попросив помощи в работе с представителями Nexx. Компания проигнорировала запросы от министерства. Представителей компании предупредили, что если они не примут меры, то подробности уязвимостей будут опубликованы.
https://habr.com/ru/news/727284/


All times are GMT. The time now is 01:05 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.