Los piratas informáticos pueden comprometer las llaves conectadas a la intranet, y es mucho más peligroso y perturbador de lo que parece, con Secuestro de datos como posible fin de la amenaza.
Los investigadores de ciberseguridad de Nozomi publicaron un informe en el que afirman haber encontrado casi dos docenas de vulnerabilidades en un dispositivo llamado Bosch Rexroth Handheld Nutrunner NXA015S-36V-B. Se trata de una llave inalámbrica conectada a una intranet que los ingenieros utilizan para apretar pernos a niveles de torsión precisos.
Como explican los investigadores, tener pernos demasiado flojos o demasiado apretados puede provocar que algunos herrajes se sobrecalienten e incluso provocar incendios. También son posibles otros escenarios de falla.
Parche en proceso
Con Nutrunner, los ingenieros obtienen una pantalla indicadora del nivel de torsión, respaldada por una certificación de la Asociación de Ingenieros Alemanes, que se adoptó en 1999. Con ella, los ingenieros pueden asegurarse de que están apretando los pernos al nivel de torsión correcto. .
Sin embargo, las vulnerabilidades descubiertas significan que los piratas informáticos pueden alterar el dispositivo y causar estragos. Por ejemplo, la pantalla puede mostrar el nivel de torsión correcto cuando, en realidad, los pernos estaban demasiado flojos o demasiado apretados. Además, los piratas informáticos pueden instalar ransomware en los dispositivos e impedir que los ingenieros vean siquiera los niveles de par antes de pagar la demanda de rescate.
Se dijo que los 23 fallos tienen puntuaciones de vulnerabilidad de 5,3 a 8,8.
Los usuarios pueden controlar el firmware del dispositivo, llamado NEXO-OS, a través de un navegador-Interfaz de gestión basada en. Por lo tanto, los piratas informáticos también necesitarían acceso a esta interfaz para poder explotar las fallas. Sin embargo, incluso los privilegios de bajo nivel permiten a los piratas informáticos crear una cadena de ataque que aprovecha una vulnerabilidad transversal para implementar malware, explicaron los investigadores. Incluso los piratas informáticos no autenticados pueden violar las llaves encadenando la falla transversal con, por ejemplo, la vulnerabilidad de la cuenta codificada.
Bosch fue notificado de los hallazgos y se dijo que estaba trabajando para solucionarlo. El parche (o parches) debería estar disponible a finales de mes.
A través de ArsTechnica