Er zijn meerdere beveiligingsproblemen onthuld in Bosch BCC100-thermostaten en Rexroth NXA015S-36V-B slimme nutrunners die, indien succesvol misbruikt, aanvallers in staat zouden kunnen stellen willekeurige code uit te voeren op getroffen systemen.
Het Roemeense cyberbeveiligingsbedrijf Bitdefender, dat afgelopen augustus de fout in Bosch BCC100-thermostaten ontdekte, zei dat een aanvaller het probleem zou kunnen gebruiken om de firmware van het apparaat te wijzigen en een frauduleuze versie te implanteren.
De zeer ernstige kwetsbaarheid, bijgehouden als CVE-2023-49722 (CVSS-score: 8,3), werd in november 2023 door Bosch aangepakt.
“Een netwerkpoort 8899 is altijd open in BCC101/BCC102/BCC50 thermostaatproducten, waardoor een niet-geverifieerde verbinding vanaf een lokaal WiFi-netwerk mogelijk is”, aldus het bedrijf in een advies.
Het probleem heeft in de kern gevolgen voor de WiFi-microcontroller die fungeert als netwerkgateway voor de logische microcontroller van de thermostaat.
Door misbruik te maken van de fout kan een aanvaller opdrachten naar de thermostaat sturen, waaronder het schrijven van een kwaadaardige update naar het apparaat, waardoor het apparaat onbruikbaar kan worden of als achterdeur kan fungeren om verkeer op te sporen, naar andere apparaten te draaien en andere snode activiteiten uit te voeren.
Bosch heeft de tekortkoming in firmwareversie 4.13.33 gecorrigeerd door poort 8899 te sluiten, die volgens hem werd gebruikt voor foutopsporingsdoeleinden.
Het Duitse ingenieurs- en technologiebedrijf is ook op de hoogte gebracht van ruim twintig fouten in de Rexroth Nexo draadloze moeraanzetters die een niet-geverifieerde aanvaller zou kunnen misbruiken om de bedrijfsvoering te verstoren, met kritieke configuraties te knoeien en zelfs ransomware te installeren.
“Gezien het feit dat de NXA015S-36V-B is gecertificeerd voor veiligheidskritische taken, kan een aanvaller de veiligheid van het geassembleerde product in gevaar brengen door suboptimale aanscherping te veroorzaken, of schade eraan veroorzaken als gevolg van overmatige aanscherping”, aldus Nozomi Networks.
De tekortkomingen, voegde het operationele technologie (OT) beveiligingsbedrijf eraan toe, zouden kunnen worden gebruikt om willekeurige code (RCE) op afstand uit te voeren met root-privileges, en de pneumatische momentsleutel onbruikbaar te maken door het ingebouwde display te kapen en de triggerknop uit te schakelen om een losgeld.
“Gezien het gemak waarmee deze aanval op talloze apparaten kan worden geautomatiseerd, kan een aanvaller snel alle tools op een productielijn ontoegankelijk maken, wat mogelijk aanzienlijke verstoringen kan veroorzaken voor de uiteindelijke eigenaar van het bedrijf”, voegde het bedrijf eraan toe.
Patches voor de kwetsbaarheden, die van invloed zijn op verschillende apparaten uit de NXA-, NXP- en NXV-serie, zullen naar verwachting eind januari 2024 door Bosch worden uitgebracht. In de tussentijd wordt gebruikers aangeraden de netwerkbereikbaarheid van het apparaat zo veel mogelijk te beperken. en bekijk accounts die inlogtoegang tot het apparaat hebben.
De ontwikkeling komt op het moment dat Pentagrid verschillende kwetsbaarheden in de Lantronix EDS-MD IoT-gateway voor medische apparaten heeft geïdentificeerd, een kwetsbaarheid die kan worden benut door een gebruiker met toegang tot de webinterface om willekeurige opdrachten uit te voeren als root op de onderliggende Linux-host.
