Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page У хакеров есть возможность удалённо открывать умные гаражные ворота Nexx

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 05-12-2025, 05:14 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Исследователь безопасности рассказал, что уязвимость в контроллере гаражных ворот Nexx позволяет злоумышленникам удалённо открывать любые ворота, а нужных пользователей хакеры могут найти с помощью адреса электронной почты или фамилии. Исследователь отметил, что неоднократно сообщал об ошибке в компанию, но его запросы игнорировали.
Суть уязвимости заключается в том, что во время регистрации нового пользователя система задаёт универсальный пароль для доступа к фирменному облаку Nexx Cloud. Данные компания передаёт с помощью протокола MQTT (Message Queuing Telemetry Transport). Исследователь отметил, что важно использовать уникальные пароли для каждого устройства, но компания проигнорировала это и унифицировала процесс авторизации.

Утечка учётных данных в ответе Nexx API
С помощью API-запроса злоумышленники могут получить список активных пользователей системы с уникальными идентификаторами в виде адресов электронной почты и фамилий. Эти данные вместе с одинаковым для всех паролем можно использовать для формирования API-запроса для открытия гаражных ворот. Исследователь опубликовал ролик, в котором открыл и закрыл таким образом собственные ворота, но он утверждает, что мог сделать это с воротами любого другого пользователя в облаке Nexx Cloud.

Список конфиденциальных данных пользователей в MQTT
Также к облачной системе подключены умные розетки компании, и уязвимость можно использовать для управления ими. Вместе с этим в контроллерах от Nexx нашлись и другие серьёзные ошибки. К примеру, контроллеры подключаются к домашней системе сигнализации, и злоумышленники могут перехватывать сигналы тревоги и менять их значения. Также хакеры могут отключать пользователей от облака Nexx Cloud и переоформлять их аккаунты на себя, что даёт полный доступ к системе.
https://youtu.be/kD1cBfv9To8
Исследователь сообщил в компанию об уязвимостях 4 января 2023 года, но служба поддержки проигнорировала обращение. После этого специалист связался с Агентством по кибербезопасности и безопасности инфраструктуры США, попросив помощи в работе с представителями Nexx. Компания проигнорировала запросы от министерства. Представителей компании предупредили, что если они не примут меры, то подробности уязвимостей будут опубликованы.
https://habr.com/ru/news/727284/
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 08:18 AM.

Contact Us - Carder.life - Archive - Top