博世联网螺母扳手被曝 23 个漏洞，可让汽车生产线瘫痪

图片地址：https://img.ithome.com/newsuploadfiles/2024/1/555f4376-11f1-4a38-9fa7-6b82b4d6a438.jpg?x-bce-process=image/format,f_auto

IT之家 1 月 11 日消息，安全公司 Nozomi 本周二发布报告，称具备联网功能的扳手存在 23 个漏洞，在概念验证中可以安装勒索软件，导致扳手无法使用。报告中涉及的扳手为博世力士乐手持式螺母拧紧器 NXA015S-36V-B，广泛应用于汽车制造行业，在正常工作的情况下，该扳手可以让工人快速将螺栓拧紧到特定的松紧度。研究人员写道：这些漏洞可以在设备上植入勒索软件，从而导致生产线停工，并可能给资产所有者造成大规模经济损失。另一种利用方式可以让威胁者在操纵板载显示屏时劫持拧紧程序，对正在组装的产品造成难以察觉的损坏，或使其无法安全使用。在论文中，研究人员获得了扳手的 root 权限，并安装了他们发明的一种名为“DR1LLCRYPT”的勒索软件。研究人员表示：这些联网扳手一旦被入侵，本地操作员就无法使用相关按钮，而且我们有能力让联网扳手完全无法运行。我们可以改变图形用户界面（GUI），在屏幕上显示任意信息，要求支付赎金。鉴于这种