Funk-Akkuschrauber NXA015S-36V-B sollen Schwachstellen aufweisen, durch die sich das Gerät mit Ransomware infizieren und lahmlegen lässt. (Bild: Bosch Rexroth)
Sicherheitsforscher von Nozomi Networks haben eine Reihe von Schwachstellen in einem vernetzten Winkelschrauber von Bosch Rexroth entdeckt. Durch die Schwachstellen sei es beispielsweise möglich, Ransomware auf den anfälligen Werkzeugen zu installieren oder darauf laufende Programme sowie Display-Ausgaben zu manipulieren, erklären die Forscher in ihrem Bericht.
Angriffe dieser Art könnten nicht nur ganze Produktionslinien zum Stillstand bringen, sondern auch die Sicherheit der damit montierten Produkte beeinträchtigen, indem etwa per Software vorgegebene Anzugsdrehmomente verändert werden. Entdeckt wurden die Sicherheitslücken im NXA015S-36V-B von Bosch Rexroth. Dieser werde besonders häufig in Fertigungsstraßen der Automobilindustrie eingesetzt, so die Forscher.
Hacken aus der Ferne
Der Bosch Rexroth NXA015S-36V-B ist laut Nozomi explizit für sicherheitskritische Schraubfälle der Kategorie A nach VDI/VDE-Richtlinie 2862 vorgesehen. Das Gerät verfügt über ein integriertes Display sowie ein Wi-Fi-Modul, über das der kabellose Akkuschrauber ferngesteuert und über verschiedene Protokolle mit anderen Systemen vernetzt werden kann. Als Betriebssystem kommt Nexo-OS zum Einsatz, das vermutlich auf Linux basiert.
Nexo-OS weist jedoch offensichtlich eine Reihe von Schwachstellen auf - insgesamt 25 Sicherheitslücken unterschiedlicher Schweregrade listet der Bericht auf. Die Forscher behaupten, dass ein Angreifer speziell präparierte Netzwerkpakete an die anfälligen Tools senden kann, um aus der Ferne beliebigen Code mit Root-Rechten auszuführen und die Kontrolle über die Geräte zu übernehmen.
So sei es beispielsweise möglich, eine Ransomware automatisiert auf die Winkelschrauber einer ganzen Produktionslinie zu verteilen und damit einen Produktionsausfall zu provozieren. Aber auch die Manipulation von Schraubprogrammen ist denkbar. Ein Angreifer könnte beispielsweise Drehmomente erhöhen oder verringern und dem Anwender trotzdem die erwarteten Werte auf dem Display anzeigen, so dass dieser den Eingriff nicht bemerkt.
Noch keine Patches verfügbar
Patches für die entdeckten Schwachstellen gibt es offenbar noch nicht. Die Nozomi-Forscher sagen aber, dass Bosch Rexroth zugesagt habe, bis Ende Januar 2024 entsprechende Sicherheitsupdates bereitzustellen. Bis dahin will sich das Forscherteam mit technischen Details zu den Sicherheitslücken zurückhalten. Unternehmen, die die anfälligen Geräte im Einsatz haben, finden in dem Bericht der Forscher einige Maßnahmen, die bis dahin einen gewissen Schutz bieten können.
Laut Nozomi betroffene Produkte von Bosch Rexroth
- Rexroth Nexo cordless nutrunner NXA011S-36V (0608842011)
- Rexroth Nexo cordless nutrunner NXA011S-36V-B (0608842012)
- Rexroth Nexo cordless nutrunner NXA015S-36V (0608842001)
- Rexroth Nexo cordless nutrunner NXA015S-36V-B (0608842006)
- Rexroth Nexo cordless nutrunner NXA030S-36V (0608842002)
- Rexroth Nexo cordless nutrunner NXA030S-36V-B (0608842007)
- Rexroth Nexo cordless nutrunner NXA050S-36V (0608842003)
- Rexroth Nexo cordless nutrunner NXA050S-36V-B (0608842008)
- Rexroth Nexo cordless nutrunner NXA065S-36V (0608842013)
- Rexroth Nexo cordless nutrunner NXA065S-36V-B (0608842014)
- Rexroth Nexo cordless nutrunner NXP012QD-36V (0608842005)
- Rexroth Nexo cordless nutrunner NXP012QD-36V-B (0608842010)
- Rexroth Nexo cordless nutrunner NXV012T-36V (0608842015)
- Rexroth Nexo cordless nutrunner NXV012T-36V-B (0608842016)
- Rexroth Nexo special cordless nutrunner (0608PE2272)
- Rexroth Nexo special cordless nutrunner (0608PE2301)
- Rexroth Nexo special cordless nutrunner (0608PE2514)
- Rexroth Nexo special cordless nutrunner (0608PE2515)
- Rexroth Nexo special cordless nutrunner (0608PE2666)
- Rexroth Nexo special cordless nutrunner (0608PE2673)
Der Autor Bernhard Richter ist verantwortlicher Redakteur für die keNEXT. Er beschreibt sich selbst als besserwisserischer olivgrün angehauchten Nerd-Metaller mit einem Hang zu allem Technischen, Faszinierendem, Absurden. Das ganze gepaart mit einem deftigen Schuss schwarzem Humor. Der studierte Magister Anglistik, Geschichte und Ethnologie hat mittlerweile schon einige Jahre (Fach-) Journalismus auf dem Buckel, kennt aber auch – dank Ausflug in die PR – die dunkle Seite der Macht.
Privat findet man ihn oft in Feld und Flur – aber auch auf dem Motorrad, in der heimischen Werkstatt Wolfsburger Altmetall restaurieren oder ganz banal (mit Katze auf dem Schoß) vorm Rechner, zocken.
