l+f: Vom Trojaner besessen: Wenn smarte Werkzeuge den Dienst verweigern
Ransomware auf einem Netzwerk-Akkuschrauber von Bosch-Rexroth installiert. Was abstrus klingt, kann lebensgefährliche Folgen haben.
(Bild: Nozomi)
Die Welt der Cyberkriminalität ist immer wieder für böse Überraschungen gut: Nun haben Sicherheitsforscher 23 Sicherheitslücken in einem smarten Akkuschrauber von Bosch Rexroth entdeckt, der in der Industrie für die Montage kritischer Bauteile zum Einsatz kommt.
Schrauben locker
Der Akkuschrauber NXA015S-36V-B verbindet sich kabellos mit Netzwerken und sorgt dafür, dass Mitarbeiter Schrauben mit einem exakten Drehmoment anziehen. Das richtige Drehmoment ist etwa in einem Auto beim Fahrwerk essenziell, um die Sicherheit für die Insassen zu garantieren. Erst kürzlich kam es zu einer lebensgefährlichen Situation in einem Flugzeug, als sich während des Flugs ein Rumpfteil löste. Bei Untersuchungen von weiteren Flugzeugen wurden nun lose Schrauben entdeckt.
Die Forscher von Nozomi geben an, dass Angreifer mit Netzwerkzugriff ohne Authentifizierung an den Lücken ansetzen können. Attacken sollen mit Root-Rechten möglich sein, sodass Geräte im Anschluss als vollständig kompromittiert gelten.
In ihren Versuchen konnten sie eigenen Angaben zufolge einen Erpressungstrojaner installieren, der das Gerät unbenutzbar macht. Auf dem Display prangte dann die Erpresserbotschaft. Außerdem sei es möglich, vordefinierte Drehmomente zu manipulieren, was lebensbedrohliche Folgen haben kann.
Allgemeines Problem
Was abstrus klingt, ist richtig gefährlich und im Industrieumfeld ein echtes Problem. Schließlich bekommen viele dort eingesetzte IoT-Geräte oft gar keine Sicherheitspatches. In diesem Fall soll das Update aber noch diesen Monat folgen.
Anrisstext umformuliert. Ransomware installiert, nicht entdeckt.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)
