Se han revelado m\u00faltiples vulnerabilidades de seguridad en los termostatos Bosch BCC100 y en los atornilladores inteligentes Rexroth NXA015S-36V-B que, si se explotan con \u00e9xito, podr\u00edan permitir a los atacantes ejecutar c\u00f3digo arbitrario en los sistemas afectados.<\/p>\n
La empresa rumana de ciberseguridad Bitdefender, que descubierto<\/a> la falla en los termostatos Bosch BCC100 en agosto pasado, dijo que un atacante podr\u00eda utilizar el problema como arma para alterar el firmware del dispositivo e implantar una versi\u00f3n no autorizada.<\/p>\n Seguimiento como CVE-2023-49722<\/a> (Puntuaci\u00f3n CVSS: 8,3), Bosch abord\u00f3 la vulnerabilidad de alta gravedad en noviembre de 2023.<\/p>\n “Un puerto de red 8899 siempre est\u00e1 abierto en los productos de termostato BCC101\/BCC102\/BCC50, lo que permite una conexi\u00f3n no autenticada desde una red WiFi local”, la compa\u00f1\u00eda dicho<\/a> en un aviso.<\/p>\n El problema, en esencia, afecta al microcontrolador WiFi que act\u00faa como puerta de enlace de red para el microcontrolador l\u00f3gico del termostato.<\/p>\n Al explotar la falla, un atacante podr\u00eda enviar comandos al termostato, incluida la escritura de una actualizaci\u00f3n maliciosa en el dispositivo que podr\u00eda dejarlo inoperable o actuar como una puerta trasera para rastrear el tr\u00e1fico, acceder a otros dispositivos y realizar otras actividades nefastas.<\/p>\n Bosch corrigi\u00f3 la deficiencia en la versi\u00f3n de firmware 4.13.33 cerrando el puerto 8899, que seg\u00fan dijo se utiliz\u00f3 con fines de depuraci\u00f3n.<\/p>\n La empresa alemana de ingenier\u00eda y tecnolog\u00eda tambi\u00e9n ha sido informada de m\u00e1s de dos docenas de fallas en los atornilladores inal\u00e1mbricos Rexroth Nexo que un atacante no autenticado podr\u00eda aprovechar para interrumpir operaciones, alterar configuraciones cr\u00edticas e incluso instalar ransomware.<\/p>\n “Dado que el NXA015S-36V-B est\u00e1 certificado para tareas cr\u00edticas para la seguridad, un atacante podr\u00eda comprometer la seguridad del producto ensamblado al inducir un ajuste sub\u00f3ptimo o causarle da\u00f1os debido a un ajuste excesivo”, Nozomi Networks dicho<\/a>.<\/p>\n Las fallas, agreg\u00f3 la firma de seguridad de tecnolog\u00eda operativa (OT), podr\u00edan usarse para obtener la ejecuci\u00f3n remota de c\u00f3digo arbitrario (RCE) con privilegios de root y hacer que la llave dinamom\u00e9trica neum\u00e1tica sea inutilizable al secuestrar la pantalla integrada y desactivar el bot\u00f3n de disparo para exigir una rescate.<\/p>\n “Dada la facilidad con la que este ataque puede automatizarse en numerosos dispositivos, un atacante podr\u00eda r\u00e1pidamente hacer inaccesibles todas las herramientas en una l\u00ednea de producci\u00f3n, causando potencialmente interrupciones significativas al propietario final del activo”, a\u00f1adi\u00f3 la compa\u00f1\u00eda.<\/p>\n Los parches para las vulnerabilidades, que afectan a varios dispositivos de las series NXA, NXP y NXV, son esperado<\/a> Bosch lo enviar\u00e1 a finales de enero de 2024. Mientras tanto, se recomienda a los usuarios limitar la accesibilidad de la red del dispositivo tanto como sea posible y revisar las cuentas que tienen acceso de inicio de sesi\u00f3n al dispositivo.<\/p>\n El desarrollo se produce como Pentagrid. identificado<\/a> varias vulnerabilidades en la puerta de enlace Lantronix EDS-MD IoT para dispositivos m\u00e9dicos, una que podr\u00eda ser aprovechada por un usuario con acceso a la interfaz web para ejecutar comandos arbitrarios como root en el host Linux subyacente.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Defectos-de-alta-gravedad-descubiertos-en-termostatos-y-aprietatuercas-inteligentes.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n