ルーマニアのサイバーセキュリティ企業 Bitdefender は、Bosch BCC100 サーモスタットと Rexroth NXA015S-36V-B スマート ナットランナーに複数のセキュリティ脆弱性があることを明らかにしました。. 悪用に成功した場合, これらの脆弱性により、攻撃者が影響を受けるシステム上で任意のコードを実行できるようになる可能性があります。, 重要な業務と製品の安全性が侵害される可能性についての懸念が高まる.
CVE-2023-49722 Bosch BCC100 サーモスタットの脆弱性
Bitdefender, 昨年8月にボッシュBCC100サーモスタットの欠陥を発見, として追跡された重大度の高い脆弱性を強調しました。 CVE-2023-49722. 欠陥, CVSSスコアが 8.3, 常に開いているネットワーク ポートを介した非認証接続を許可しました (ポート 8899) BCC101/BCC102/BCC50サーモスタット製品. この脆弱性, ネットワークゲートウェイとして機能する WiFi マイクロコントローラーに常駐, 攻撃者がデバイスのファームウェアを変更し、不正なバージョンを埋め込むことが可能になる可能性があります. ボッシュは 11 月にこの問題に対処しました 2023 ポートを閉じることによって 8899 ファームウェアのバージョンで 4.13.33, 元々はデバッグ目的で使用されていました.
この欠陥を悪用すると、攻撃者がサーモスタットにコマンドを送信できる可能性があります。, デバイスが動作不能になる可能性があります. その他の影響には、トラフィックを傍受するバックドアとして機能することが含まれます。, 他のデバイスにピボットする, または他の悪意のある活動に関与する.
Rexroth NXA015S-36V-B ナットランナーの欠陥
ボッシュはまた、Rexroth Nexo コードレスナットランナーに 20 を超える欠陥があることを警告しています。. のぞみネットワークス, 運用技術 (OT) 警備会社, これらの欠陥の深刻さを強調した, NXA015S-36V-B が安全性が重要なタスクに対して認定されていることを考慮すると、. 認証されていない攻撃者がこれらの脆弱性を悪用して業務を妨害する可能性があります。, 重要な構成を改ざんする, ランサムウェアをインストールする可能性がある.
この欠陥により、リモートで任意のコードが実行される可能性があります (RCE) root権限で, 最適ではない締め付けを誘発したり、過剰な締め付けにより損傷を引き起こしたりして、組み立てられた製品の安全性が損なわれる. また、Nozomi Networks は、攻撃者が生産ライン上のすべてのツールをアクセス不能にする可能性についても強調しました。, 重大な混乱を引き起こす.
緩和策と将来の解決策
ボッシュは、これらの脆弱性に対処するパッチを 1 月末までにリリースする予定です 2024. 暫定的に, ユーザーには、影響を受けるデバイスのネットワーク到達可能性を制限し、ログイン アクセスのあるアカウントを確認することを強くお勧めします。. 重要な業務と安全性への潜在的な影響を考慮して, これらの脆弱性に関連するリスクを軽減するには、迅速な行動が重要です。.