博世恒温器曝多个高危漏洞，可更改设备固件并植入恶意程序

最近的网络安全观察中，博世 BCC100 恒温器和力士乐 NXA015S-36V-B 智能拧紧机中已披露多个安全漏洞，如果成功利用这些漏洞，攻击者可能会在受影响的系统上执行任意代码。

网络安全研究人员去年 8 月发现了博世 BCC100 恒温器中的安全漏洞，攻击者可能会利用该问题来更改设备固件并植入恶意版本。该高危漏洞的编号为CVE-2023-49722 （CVSS 评分：8.3），博世于 2023 年 11 月修复了该漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，BCC101/BCC102/BCC50 恒温器产品中的网络端口 8899 始终处于开放状态，允许从本地 WiFi 网络进行未经身份验证的连接。该漏洞的核心是影响充当恒温器逻辑微控制器网络网关的 WiFi 微控制器。

通过利用该漏洞，攻击者可以向恒温器发送命令，包括向设备写入恶意更新，这可能导致设备无法操作或充当后门来嗅探流量、转向其他设备以及进行其他恶意活动。

博世通过关闭端口 8899 纠正了固件版本 4.13.33 中的漏洞，据称该端口用于调试目的。

博世还获悉力士乐 Nexo 无绳螺母扳手中存在20多个漏洞，未经身份验证的攻击者可能会滥用这些漏洞来扰乱运营、篡改关键配置，甚至安装勒索软件。鉴于 NXA015S-36V-B 经过安全关键任务认证，攻击者可能会通过诱导次优拧紧来损害组装产品的安全性，或者因过度拧紧而对其造成损坏。

极牛攻防实验室表示，这些漏洞可用于以 root 权限远程执行任意代码 (RCE)，并通过劫持机载显示器并禁用触发按钮来要求执行命令，从而使气动扭矩扳手无法使用。鉴于这种攻击可以轻松地在众多设备上自动化，攻击者可以迅速使生产线上的所有工具无法访问，从而可能对最终资产所有者造成重大破坏。

这些漏洞的补丁会影响多款 NXA、NXP 和 NXV 系列设备，预计博世将于 2024 年 1 月下旬发布安全补丁。在此期间，建议用户尽可能限制设备的网络可达性并查看有权登录设备的帐户。