Lỗ hổng bảo mật nghiêm trọng cao được phát hiện trong bộ điều nhiệt thông minh và máy vặn đai ốc thông minh Bosch

www.tuoitre.vn -   12/01/2024 08:00:00 117

Trong một phát hiện bảo mật mới đây, nhiều lỗ hổng bảo mật đã bị phát hiện có trong bộ điều nhiệt thông minh Bosch BCC100 và máy vặn đai ốc thông minh Rexroth NXA015S-36V-V. Nếu tin tặc khai thác thành công lỗ hổng này, hắn có thể thực thi mã tuỳ ý trên các hệ thống ảnh hưởng.

Lỗ hổng bảo mật nghiêm trọng cao được phát hiện trong bộ điều nhiệt thông minh và máy vặn đai ốc thông minh Bosch

Lỗ hổng bảo mật trong bộ điều nhiệt Boscch BCC100 đã được phát hiện vào tháng 8 năm ngoái, vấn đề này có thể bị kẻ tấn công lợi dụng để thay đổi thiết lập chương trình cơ sở của thiết bị và cấy vào một phiên bản giả mạo.

Mã lỗ hổng là CVE-2023-49722 (điểm CVSS: 8.3), lỗ hổng này có mức độ nghiêm trọng cao đã được hãng Bosch giải quyết vào tháng 11 năm 2023.

Theo thông tin từ hãng : “Cổng mạng 8899 luôn mở trong các sản phẩm bộ điều nhiệt BCC101/BCC102/BCC50, cho phép kết nối không được xác thực từ mạng WiFi cục bộ”.

Về cốt lõi, vấn đề này ảnh hưởng đến bộ vi điều khiển WiFi hoạt động như một cổng mạng cho bộ vi điều khiển logic của bộ điều nhiệt.

Bằng cách khai thác lỗ hổng, kẻ tấn công có thể gửi lệnh tới bộ điều chỉnh nhiệt, bao gồm viết một bản cập nhật độc hại cho thiết bị có thể khiến thiết bị không hoạt động hoặc hoạt động như một cửa sau để đánh hơi lưu lượng truy cập, truy cập vào các thiết bị khác và các hoạt động bất chính khác.

Bosch đã khắc phục thiếu sót trong phiên bản phần sụn 4.13.33 bằng cách đóng cổng 8899 mà hãng cho biết cổng này được sử dụng cho mục đích gỡ lỗi.

Công ty kỹ thuật và công nghệ Đức cũng đã được biết về hơn hai chục lỗ hổng trong thiết bị vặn đai ốc không dây Rexroth Nexo mà kẻ tấn công không được xác thực có thể lợi dụng để làm gián đoạn hoạt động, giả mạo các cấu hình quan trọng và thậm chí cài đặt phần mềm ransomware.

Nozomi Networks cho biết: “Do NXA015S-36V-B được chứng nhận cho các nhiệm vụ quan trọng về an toàn, kẻ tấn công có thể làm tổn hại đến sự an toàn của sản phẩm đã lắp ráp bằng cách tạo ra lực siết dưới mức tối ưu hoặc gây hư hỏng cho sản phẩm do siết chặt quá mức”.

Công ty bảo mật công nghệ vận hành (OT) cho biết thêm, các lỗ hổng có thể được sử dụng để thực thi mã tùy ý (RCE) từ xa với quyền root và khiến cờ lê mô-men xoắn khí nén không thể sử dụng được bằng cách chiếm quyền điều khiển màn hình trên bo mạch và vô hiệu hóa nút kích hoạt để yêu cầu một tiền chuộc.

Công ty cho biết thêm: “Với sự dễ dàng mà cuộc tấn công này có thể được tự động hóa trên nhiều thiết bị, kẻ tấn công có thể nhanh chóng khiến tất cả các công cụ trên dây chuyền sản xuất không thể truy cập được, có khả năng gây ra sự gián đoạn đáng kể cho chủ sở hữu tài sản cuối cùng”.

Các bản vá cho các lỗ hổng ảnh hưởng đến một số thiết bị dòng NXA, NXP và NXV, dự kiến sẽ được Bosch cung cấp vào cuối tháng 1 năm 2024. Trong thời gian chờ đợi, tạm thời, người dùng nên hạn chế khả năng kết nối mạng của thiết bị càng nhiều càng tốt và xem xét các tài khoản có quyền truy cập đăng nhập vào thiết bị.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 81
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 175
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 158
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 42
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 33
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ