数码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 1209|回复: 4

[产品] 博世联网螺母扳手被曝 23 个漏洞,可让汽车生产线瘫痪

[复制链接]
发表于 2024-1-11 21:57:25 | 显示全部楼层 |阅读模式

爱科技、爱创意、爱折腾、爱极致,我们都是技术控

您需要 登录 才可以下载或查看,没有账号?立即注册 微信登录

x
安全公司 Nozomi 本周二发布报告,称具备联网功能的扳手存在 23 个漏洞,在概念验证中可以安装勒索软件,导致扳手无法使用。
报告中涉及的扳手为博世力士乐手持式螺母拧紧器 NXA015S-36V-B,广泛应用于汽车制造行业,在正常工作的情况下,该扳手可以让工人快速将螺栓拧紧到特定的松紧度。
研究人员写道:
这些漏洞可以在设备上植入勒索软件,从而导致生产线停工,并可能给资产所有者造成大规模经济损失。
另一种利用方式可以让威胁者在操纵板载显示屏时劫持拧紧程序,对正在组装的产品造成难以察觉的损坏,或使其无法安全使用。
在论文中,研究人员获得了扳手的 root 权限,并安装了他们发明的一种名为“DR1LLCRYPT”的勒索软件。
研究人员表示:
这些联网扳手一旦被入侵,本地操作员就无法使用相关按钮,而且我们有能力让联网扳手完全无法运行。
我们可以改变图形用户界面(GUI),在屏幕上显示任意信息,要求支付赎金。鉴于这种攻击很容易在众多设备上实现自动化,攻击者可以迅速使生产线上的所有工具瘫痪,从而可能对最终资产所有者造成重大破坏。
IT之家附上漏洞列表如下:
CVE IDCWECVSS v3.1 Base ScoreCVSS v3.1 VectorCVE-2023-48252Improper Authorization (CWE-285)8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCVE-2023-48253Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCVE-2023-48243Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)8.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:HCVE-2023-48250Use of Hard-coded Credentials (CWE-798)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48251Use of Hard-coded Credentials (CWE-798)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48262Stack-based Buffer Overflow (CWE-121)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48263Heap-based Buffer Overflow (CWE-122)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48264Stack-based Buffer Overflow (CWE-121)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48265Stack-based Buffer Overflow (CWE-121)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48266Stack-based Buffer Overflow (CWE-121)8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HCVE-2023-48257Use of Weak Credentials (CWE-1391)7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:HCVE-2023-48242Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:NCVE-2023-48245Missing Authorization (CWE-862)6.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:LCVE-2023-48246Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:NCVE-2023-48249Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:NCVE-2023-48255Improper Neutralization of Input During Web Page Generation ('Cross-site ing') (CWE-79)6.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:LCVE-2023-48248Improper Neutralization of Input During Web Page Generation ('Cross-site ing') (CWE-79)5.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:LCVE-2023-48258Cross-Site Request Forgery (CSRF) (CWE-352)5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:HCVE-2023-48244Improper Neutralization of Input During Web Page Generation ('Cross-site ing') (CWE-79)5.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:LCVE-2023-48247Missing Authorization (CWE-862)5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:NCVE-2023-48254Improper Neutralization of Input During Web Page Generation ('Cross-site ing') (CWE-79)5.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:LCVE-2023-48256Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') (CWE-113)5.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:LCVE-2023-48259Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:NCVE-2023-48260Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:NCVE-2023-48261Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

发表于 2024-1-11 22:25:59 来自手机浏览器 | 显示全部楼层
都这么大张旗鼓的发出来了,下一步就是修复了吧,据说一台也不便宜啊
回复 支持 反对

使用道具 举报

发表于 2024-1-11 23:56:34 | 显示全部楼层
就说以后啥不联网吧?
回复 支持 反对

使用道具 举报

发表于 2024-1-12 08:15:02 | 显示全部楼层
这东西汽车流水线上用的都是进口的
回复 支持 反对

使用道具 举报

发表于 2024-1-12 09:30:31 | 显示全部楼层
具备联网功能的扳手存在 23 个漏洞
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

APP|手机版|小黑屋|关于我们|联系我们|法律条款|技术知识分享平台

闽公网安备35020502000485号

闽ICP备2021002735号-2

GMT+8, 2025-7-24 23:32 , Processed in 0.140400 second(s), 9 queries , Redis On.

Powered by Discuz!

© 2006-2025 MyDigit.Net

快速回复 返回顶部 返回列表