{"id":1101695,"date":"2024-01-15T07:22:30","date_gmt":"2024-01-15T09:22:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/defauts-de-haute-gravite-decouverts-dans-les-thermostats-et-les-boulonneuses-intelligentes-bosch\/"},"modified":"2024-01-15T07:22:34","modified_gmt":"2024-01-15T09:22:34","slug":"defauts-de-haute-gravite-decouverts-dans-les-thermostats-et-les-boulonneuses-intelligentes-bosch","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/defauts-de-haute-gravite-decouverts-dans-les-thermostats-et-les-boulonneuses-intelligentes-bosch\/","title":{"rendered":"D\u00e9fauts de haute gravit\u00e9 d\u00e9couverts dans les thermostats et les boulonneuses intelligentes Bosch"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Technologie op\u00e9rationnelle\/S\u00e9curit\u00e9 des r\u00e9seaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Defauts-de-haute-gravite-decouverts-dans-les-thermostats-et-les.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Plusieurs vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans les thermostats Bosch BCC100 et les boulonneuses intelligentes Rexroth NXA015S-36V-B qui, si elles sont exploit\u00e9es avec succ\u00e8s, pourraient permettre aux attaquants d&#8217;ex\u00e9cuter du code arbitraire sur les syst\u00e8mes concern\u00e9s.<\/p>\n<p>La soci\u00e9t\u00e9 roumaine de cybers\u00e9curit\u00e9 Bitdefender, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/vulnerabilities-identified-in-bosch-bcc100-thermostat\/\" target=\"_blank\">d\u00e9couvert<\/a> la faille des thermostats Bosch BCC100 en ao\u00fbt dernier, a d\u00e9clar\u00e9 que le probl\u00e8me pourrait \u00eatre utilis\u00e9 par un attaquant pour modifier le micrologiciel de l&#8217;appareil et implanter une version malveillante.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-49722\" target=\"_blank\">CVE-2023-49722<\/a> (score CVSS : 8,3), la vuln\u00e9rabilit\u00e9 de haute gravit\u00e9 a \u00e9t\u00e9 corrig\u00e9e par Bosch en novembre 2023.<\/p>\n<p>&#8220;Un port r\u00e9seau 8899 est toujours ouvert dans les produits thermostatiques BCC101\/BCC102\/BCC50, ce qui permet une connexion non authentifi\u00e9e \u00e0 partir d&#8217;un r\u00e9seau WiFi local&#8221;, explique la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/psirt.bosch.com\/security-advisories\/BOSCH-SA-473852.html\" target=\"_blank\">dit<\/a> dans un avis.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le probl\u00e8me concerne essentiellement le microcontr\u00f4leur WiFi qui agit comme une passerelle r\u00e9seau pour le microcontr\u00f4leur logique du thermostat.<\/p>\n<p>En exploitant cette faille, un attaquant pourrait envoyer des commandes au thermostat, notamment \u00e9crire une mise \u00e0 jour malveillante sur l&#8217;appareil qui pourrait soit rendre l&#8217;appareil inutilisable, soit agir comme une porte d\u00e9rob\u00e9e pour d\u00e9tecter le trafic, pivoter sur d&#8217;autres appareils et effectuer d&#8217;autres activit\u00e9s n\u00e9fastes.<\/p>\n<p>Bosch a corrig\u00e9 la lacune de la version 4.13.33 du firmware en fermant le port 8899, qui, selon lui, \u00e9tait utilis\u00e9 \u00e0 des fins de d\u00e9bogage.<\/p>\n<p>La soci\u00e9t\u00e9 allemande d&#8217;ing\u00e9nierie et de technologie a \u00e9galement \u00e9t\u00e9 inform\u00e9e de plus de deux douzaines de failles dans les boulonneuses sans fil Rexroth Nexo dont un attaquant non authentifi\u00e9 pourrait abuser pour perturber les op\u00e9rations, alt\u00e9rer les configurations critiques et m\u00eame installer un ransomware.<\/p>\n<p>&#8220;\u00c9tant donn\u00e9 que le NXA015S-36V-B est certifi\u00e9 pour les t\u00e2ches critiques en mati\u00e8re de s\u00e9curit\u00e9, un attaquant pourrait compromettre la s\u00e9curit\u00e9 du produit assembl\u00e9 en induisant un serrage sous-optimal, ou l&#8217;endommager en raison d&#8217;un serrage excessif&#8221;, Nozomi Networks <a rel=\"nofollow noopener\" href=\"https:\/\/www.nozominetworks.com\/blog\/vulnerabilities-on-bosch-rexroth-nutrunners\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Les failles, a ajout\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de technologie op\u00e9rationnelle (OT), pourraient \u00eatre utilis\u00e9es pour obtenir l&#8217;ex\u00e9cution \u00e0 distance de code arbitraire (RCE) avec les privil\u00e8ges root, et rendre la cl\u00e9 dynamom\u00e9trique pneumatique inutilisable en d\u00e9tournant l&#8217;\u00e9cran embarqu\u00e9 et en d\u00e9sactivant le bouton de d\u00e9clenchement pour exiger un une ran\u00e7on.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;\u00c9tant donn\u00e9 la facilit\u00e9 avec laquelle cette attaque peut \u00eatre automatis\u00e9e sur de nombreux appareils, un attaquant pourrait rapidement rendre inaccessibles tous les outils d&#8217;une ligne de production, provoquant potentiellement des perturbations importantes pour le propri\u00e9taire final de l&#8217;actif&#8221;, a ajout\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Les correctifs pour les vuln\u00e9rabilit\u00e9s, qui affectent plusieurs appareils des s\u00e9ries NXA, NXP et NXV, sont <a rel=\"nofollow noopener\" href=\"https:\/\/psirt.bosch.com\/security-advisories\/bosch-sa-711465.html\" target=\"_blank\">attendu<\/a> qui sera exp\u00e9di\u00e9 par Bosch d&#8217;ici la fin janvier 2024. En attendant, il est recommand\u00e9 aux utilisateurs de limiter autant que possible l&#8217;accessibilit\u00e9 r\u00e9seau de l&#8217;appareil et de v\u00e9rifier les comptes qui ont acc\u00e8s \u00e0 l&#8217;appareil.<\/p>\n<p>Le d\u00e9veloppement intervient sous le nom de Pentagrid <a rel=\"nofollow noopener\" href=\"https:\/\/www.pentagrid.ch\/en\/blog\/multiple-vulnerabilties-in-lantronix-eds-md-iot-gateway\/\" target=\"_blank\">identifi\u00e9<\/a> plusieurs vuln\u00e9rabilit\u00e9s dans la passerelle IoT Lantronix EDS-MD pour dispositifs m\u00e9dicaux, dont une qui pourrait \u00eatre exploit\u00e9e par un utilisateur ayant acc\u00e8s \u00e0 l&#8217;interface Web pour ex\u00e9cuter des commandes arbitraires en tant que root sur l&#8217;h\u00f4te Linux sous-jacent.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/high-severity-flaws-uncovered-in-bosch.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 janvier 2024\ue804R\u00e9dactionTechnologie op\u00e9rationnelle\/S\u00e9curit\u00e9 des r\u00e9seaux Plusieurs vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans les thermostats Bosch BCC100 et les boulonneuses intelligentes Rexroth NXA015S-36V-B qui, si elles sont exploit\u00e9es avec succ\u00e8s, pourraient permettre aux attaquants d&#8217;ex\u00e9cuter du code arbitraire sur les syst\u00e8mes concern\u00e9s. La soci\u00e9t\u00e9 roumaine de cybers\u00e9curit\u00e9 Bitdefender, qui d\u00e9couvert la faille des thermostats [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1101696,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,17493,224498,4168,4165,4161,200267,429,13954,37939,11128,11685,28240,4159,4171,65,200271,200268,200269,200270,128318,4172,4169,31379,4166,4164],"class_list":["post-1101695","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-bosch","tag-boulonneuses","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-decouverts","tag-defauts","tag-gravite","tag-haute","tag-intelligentes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-thermostats","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1101695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1101695"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1101695\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1101696"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1101695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1101695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1101695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}