Des vulnérabilités critiques découvertes sur un thermostat connecté et une boulonneuse Bosch

Des vulnérabilités critiques découvertes sur un thermostat connecté et une boulonneuse Bosch


Mauvaise loi des séries pour l’équipementier industriel Bosch. Deux produits de la multinationale d’origine allemande présentaient des vulnérabilités informatiques inquiétantes. Comme l’a dévoilé récemment l’entreprise de cybersécurité Bitdefender, il existait en effet une faille importante dans l’un des thermostats connectés de l’industriel vendu une douzaine de dollars en Amérique du nord.



Cette vulnérabilité, écrit Bitdefender, permettait à un attaquant de remplacer le logiciel du thermostat par un autre version malveillante. Découverte à la fin août 2023, la vulnérabilité, évaluée à un score de 8,3 sur 10, a été corrigée par Bosch à la mi-novembre, selon la chronologie établie par Bitdefender. Une puce de l’appareil ne pouvait pas distinguer les messages authentiques d’autres messages malveillants envoyés depuis le serveur cloud, ce qui permettait de transmettre une fausse version de mise à jour.

Boulonneuse

Un genre d’attaque malvenu en hiver. Mais les dégâts d’un tel piratage dépassent la perte de contrôle sur son chauffage. Théoriquement, le thermostat piraté pouvait en effet être détourné pour des attaques malveillantes via un botnet, par exemple pour mener des attaques en déni de service, le malware Mirai étant l’une des illustrations de ce type de campagne. Il pouvait également se transformer en logiciel espion, servant d’intermédiaire pour une attaque vers d’autres terminaux plus sensibles, comme un téléphone ou un ordinateur.


Une boulonneuse Bosch

Quelques jours plus tôt, c’est l’entreprise Nozomi Networks qui avait dévoilé une vingtaine de vulnérabilités, dont certaines très critiques, sur un autre produit de la multinationale, l’une de ses boulonneuses connectées.

Les chercheurs de cette entreprise de cybersécurité ont ainsi réussi à installer un rançongiciel sur cet outil utilisé dans l’industrie automobile, une opération malveillante qui pourrait sévèrement entraver une chaîne de production.

Failles dans l’application web


De même, ils ont réussi à manipuler l’application de boulonnage, rendant cette opération dangereuse pour les opérateurs et pour la fiabilité du produit fabriqué. “La majorité des vulnérabilités identifiées affectaient l’application web de gestion”, signale Nozomi Networks.


Concrètement, un attaquant non authentifié pouvait déclencher l’exécution à distance de code arbitraire, avec un haut niveau de privilège, permettant de compromettre entièrement l’outil. Selon Nozomi Networks, la boulonneuse connectée devrait être patchée d’ici la fin du mois de janvier.



Le scénario d’une attaque par rançongiciel contre les boulonneuses connectées apparaît peu probable. Les gangs de ransomware ne manquent pas de leviers pour nuire à une cible. Toutefois, ce genre de manœuvre n’est pas à prendre à la légère: elle pourrait en effet intéresser des hacktivistes ou des groupes étatiques à des fins de sabotage, comme le rappelle l’affaire Stuxnet.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.