Kwetsbaarheden in moeraanzetters van Bosch maken het mogelijk om autoproductielijnen te saboteren, bijvoorbeeld door de apparaten met ransomware te infecteren of de instellingen aan te passen zodat moeren en bouten minder strak worden aangedraaid. Dat stelt securitybedrijf Nozomi Networks op basis van eigen onderzoek. Bosch is van de kwetsbaarheden op de hoogte, maar heeft nog geen firmware-updates beschikbaar.
De Bosch Rexroth nutrunners worden in autoproductielijnen gebruikt voor het aandraaien van onder andere bouten en moeren. Het apparaat kan via een wifi-module verbinding met een wifi-netwerk maken, waardoor het mogelijk is om data uit te wisselen of het apparaat opnieuw te programmeren. Tevens beschikt het apparaat over een ingebouwde display waarop de gebruiker allerlei waardes kan zien, bijvoorbeeld met hoeveel koppel een moer is aangedraaid.
Onderzoekers van Nozomi Networks ontdekten 25 kwetsbaarheden, waaronder SQL injection, path traversal, hardcoded wachtwoorden en buffer overflows, waardoor een aanvaller code met rootrechten op de apparaten kan uitvoeren. De impact van twee van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Om de apparaten aan te kunnen vallen moet een aanvaller wel in staat zijn om een pakketje naar de moeraanzetter te sturen. Hiervoor zou bijvoorbeeld eerst het netwerk in de autofabriek moeten worden gecompromitteerd.
Vervolgens zijn er volgens de onderzoekers meerdere aanvallen mogelijk. Zo kan een aanvaller ransomware op de moeraanzetters installeren, waarbij gebruikers een melding op de display te zien krijgen. Op deze manier is het mogelijk een gehele productielijn stil te leggen. Daarnaast kan een aanvaller de configuratie aanpassen, zonder dat gebruikers dit door hebben. Hierdoor zal de moeraanzetter moeren minder strak aandraaien en krijgt de gebruiker een verkeerde waarde op de display te zien. Bosch is over de kwetsbaarheden geïnformeerd en zegt eind deze maand met firmware-updates te komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.