Onderzoekers hebben bijna twintig kwetsbaarheden ontdekt waarmee hackers een populaire lijn van op het netwerk aangesloten moersleutels kunnen beschadigen of uitschakelen die in fabrieken over de hele wereld worden gebruikt om gevoelige instrumenten en apparatuur te assembleren.
Onderzoekers van beveiligingsbedrijf Nozomi meldden dinsdag dat de kwetsbaarheden bestaan in de Bosch Rexroth handmoerrunner NXA015S-36V-B. Het draadloze apparaat maakt draadloos verbinding met het lokale netwerk van het bedrijf dat het gebruikt, waardoor ingenieurs bouten en andere mechanische bevestigingsmiddelen kunnen vastdraaien met nauwkeurige aanhaalmomenten die cruciaal zijn voor de veiligheid en betrouwbaarheid. Als de bevestigingsmiddelen te los zitten, kan de apparatuur oververhit raken en brand veroorzaken. Als ze te strak zijn, zullen de schroefdraden falen, wat resulteert in een te groot los koppel.
Nutrunner biedt een indicatiedisplay voor het koppelniveau dat is gecertificeerd door de Duitse Vereniging van Ingenieurs en in 1999 door de auto-industrie is overgenomen. De firmware NEXO-OS die op het apparaat draait, kan worden bestuurd via een browsergebaseerde beheerinterface.
Onderzoekers van Nozomi zeiden dat het apparaat 23 kwetsbaarheden had die in sommige gevallen konden worden misbruikt om malware te installeren. Malware kan dan worden gebruikt om een hele vloot apparaten uit te schakelen, of ervoor te zorgen dat apparaten te los of te strak worden vastgedraaid, terwijl het display blijft aangeven dat de belangrijkste instellingen nog steeds correct zijn geplaatst.
Ambtenaren van Bosch e-mailden een verklaring waarin de gebruikelijke regel stond dat veiligheid een topprioriteit is. In de verklaring stond ook dat Nozomi enkele weken geleden proactief contact opnam met Bosch om de kwetsbaarheden bekend te maken. “Bosch Rexroth heeft deze aanbeveling onmiddellijk overgenomen en ontwikkelt een patch om het probleem op te lossen. De patch zal eind januari 2024 worden uitgebracht”, aldus de verklaring.