Bosch BCC100 thermostat-ում և Rexroth NXA015S-36V-B smart nutrunner-երում անվտանգության բազմաթիվ նոր խոցելիություններ են հայտնաբերվել, որոնք հաջողությամբ շահագործելու դեպքում հաքերները կարող են կամայական կոդ գործարկել տուժած համակարգերում:
Որակվելով որպես CVE-2023-49722 (CVSS կատալոգում միավորը՝ 8.3), կրիտիկական նշանակության խոցելիությունը Bosch-ի կողմից բացահայտվել է 2023 թվականի նոյեմբերին։
Խոցելիության փաստն օգտագործելով՝ հաքերը thermostat-ում կարող է հրամաններ թողարկել, սարքի վրա փոփոխություններ կատարել, որը կարող է և՛ սարքը դարձնել անգործունակ, և՛ գործել որպես backdoor:
Bosch-ը շտկել է firmware 4.13.33 տարբերակի խոցելիությունը՝ փակելով 8899 port-ը:
«Հաշվի առնելով այն հեշտ ուղին, որով այս հարձակումը կարող է ավտոմատացվել բազմաթիվ սարքերի վրա, հաքերը կարող է արագորեն անհասանելի դարձնել արտադրական գծի բոլոր գործիքները՝ զգալի խափանումներ առաջացնելով համակարգում», – նշել է ընկերությունը:
Bosch-ի կողմից իրականացված շտկումներն ազդում են NXA, NXP և NXV սերիաների մի քանի սարքերի վրա: Օգտատերերին խորհուրդ է տրվում հնարավորինս սահմանափակել սարքի ցանցի հասանելիությունը և անպայմանորեն ստուգել այն օգտահաշիվները, որոնք մուտքի հնարավորություն ունեն սարքում:
Հիմնական բացահայտումը տեղի ունեցավ այն ժամանակ, երբ Pentagrid-ը մի քանի հստակ խոցելիություն հայտնաբերեց Lantronix EDS-MD IoT բժշկական սարքերի gateway-երում:
Աղբյուրը՝ https://thehackernews.com/