Les pirates peuvent infecter les clés connectées au réseau et installer un ransomware sur them

Les chercheurs ont découvert près de deux douzaines de vulnérabilités qui pourraient permettre aux pirates informatiques d’endommager ou de désactiver une gamme populaire d’outils à clé connectés au réseau utilisés dans les usines du monde entier pour assembler des instruments et équipements sensibles.

Des chercheurs de la société de sécurité Nozomi ont rapporté mardi que des vulnérabilités existaient dans la visseuse à écrous portative Bosch Rexroth NXA015S-36V-B. L'appareil sans fil se connecte sans fil au réseau local de l'entreprise qui l'utilise, permettant aux ingénieurs de serrer les boulons et autres fixations mécaniques à des niveaux de couple précis essentiels à la sécurité et à la fiabilité. Si les fixations sont trop lâches, cela pourrait provoquer une surchauffe de l'équipement et provoquer un incendie. S'ils sont trop serrés, les filetages échoueront, ce qui entraînera un couple trop lâche.

Nutrunner propose un affichage d'indication du niveau de couple certifié par la Société allemande des ingénieurs et adopté par l'industrie automobile en 1999. Le micrologiciel NEXO-OS exécuté sur l'appareil peut être contrôlé via une interface de gestion basée sur un navigateur.

Les chercheurs de Nozomi ont déclaré que l'appareil présentait 23 vulnérabilités qui pourraient, dans certains cas, être exploitées pour installer des logiciels malveillants. Des logiciels malveillants pourraient alors être utilisés pour désactiver une flotte entière d'appareils, ou provoquer un serrage trop lâche ou trop serré des appareils, tandis que l'écran continue d'indiquer que les paramètres clés sont toujours correctement en place.

Les responsables de Bosch ont envoyé par courrier électronique une déclaration incluant la phrase habituelle selon laquelle la sécurité est une priorité absolue. Le communiqué indique également que Nozomi a contacté Bosch de manière proactive il y a plusieurs semaines pour révéler les vulnérabilités. "Bosch Rexroth a immédiatement adopté cette recommandation et développe un correctif pour résoudre le problème. Le correctif sera publié d'ici fin janvier 2024", indique le communiqué.