1 月 11 日消息，安全公司 Nozomi 本周二發布報告，稱具備聯網功能的扳手存在 23 個漏洞，在概念驗證中可以安裝勒索軟件，導致扳手無法使用。

報告中涉及的扳手為博世力士樂手持式螺母擰緊器 NXA015S-36V-B，廣泛應用于汽車制造行業，在正常工作的情況下，該扳手可以讓工人快速將螺栓擰緊到特定的松緊度。

研究人員寫道：

這些漏洞可以在設備上植入勒索軟件，從而導致生產線停工，并可能給資產所有者造成大規模經濟損失。

另一種利用方式可以讓威脅者在操縱板載顯示屏時劫持擰緊程序，對正在組裝的產品造成難以察覺的損壞，或使其無法安全使用。

在論文中，研究人員獲得了扳手的 root 權限，并安裝了他們發明的一種名為“DR1LLCRYPT”的勒索軟件。

研究人員表示：

這些聯網扳手一旦被入侵，本地操作員就無法使用相關按鈕，而且我們有能力讓聯網扳手完全無法運行。

我們可以改變圖形用戶界面（GUI），在屏幕上顯示任意信息，要求支付贖金。鑒于這種攻擊很容易在眾多設備上實現自動化，攻擊者可以迅速使生產線上的所有工具癱瘓，從而可能對最終資產所有者造成重大破壞。

附上漏洞列表如下：

CVE ID	CWE	CVSS v3.1 Base Score	CVSS v3.1 Vector
CVE-2023-48252	Improper Authorization (CWE-285)	8.8	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48253	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)	8.8	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48243	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)	8.1	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
CVE-2023-48250	Use of Hard-coded Credentials (CWE-798)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48251	Use of Hard-coded Credentials (CWE-798)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48262	Stack-based Buffer Overflow (CWE-121)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48263	Heap-based Buffer Overflow (CWE-122)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48264	Stack-based Buffer Overflow (CWE-121)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48265	Stack-based Buffer Overflow (CWE-121)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48266	Stack-based Buffer Overflow (CWE-121)	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48257	Use of Weak Credentials (CWE-1391)	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-48242	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-48245	Missing Authorization (CWE-862)	6.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
CVE-2023-48246	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-48249	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-48255	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)	6.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48248	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)	5.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48258	Cross-Site Request Forgery (CSRF) (CWE-352)	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-48244	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)	5.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48247	Missing Authorization (CWE-862)	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-48254	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)	5.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48256	Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') (CWE-113)	5.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48259	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-48260	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-48261	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的博世联网螺母扳手被曝 23 个漏洞，可让汽车生产线瘫痪的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。