关注我们
带你读懂网络安全
研究人员在热门扳手套件中发现了23个漏洞,其中一些无需身份验证即可利用,可被用于勒索软件攻击或定向攻击利用链。
-
勒索软件:我们能够阻止本地操作员通过设备上的显示屏控制钻孔并禁用触发按钮,导致设备完全无法使用。此外,我们可以更改图形用户界面,在屏幕上显示任意消息,要求支付赎金。鉴于勒索软件攻击可以轻松地自动应用于众多设备,攻击者可能会迅速使生产线上的所有工具无法访问,导致最终资产所有者遭受重大损失。
-
控制和视图操纵:我们秘密地更改了紧固程序的配置,比如增加或减少目标扭矩值。同时,通过在内存中修补设备显示屏的显示界面,我们可以向操作员显示正常数值,悄然篡改系统设置。
参考资料:arstechnica.com
推荐阅读
原文始发于微信公众号(安全内参):神漏洞!热门扳手感染勒索软件,秘密破坏工厂设备组装
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论