Брешь в ветрогенераторах XZERES позволяет отключить электропитание систем

image

Теги: ветрогенератор, уязвимость, учетные данные

Используя метод ввода данных GET, злоумышленник может получить в браузере пароль пользователя по умолчанию и изменить его.

Компьютерная группа реагирования на чрезвычайные ситуации ICS-CERT  сообщила  об CSRF- уязвимости  в системе управления ветрогенераторов с web-интерфейсом производства XZERES, позволяющей злоумышленникам получить учетные данные пользователей.

Брешь присутствует в небольших турбинах модели 442 SR, которые, по словам экспертов, используются в энергетическом секторе по всему миру. Как сообщается в уведомлении ICS-CERT, эксплуатация уязвимости позволяет вызвать недостаток электроэнергии для всех питаемых ветрогенератором систем.

Проблема заключается в том, что ОС, под управлением которой работает турбина, распознает оба метода передачи данных – POST и GET. Используя GET, злоумышленник может получить в браузере пароль пользователя по умолчанию и изменить его. При этом пользователь по умолчанию обладает правами администратора на всей системе.

Как сообщили эксперты, создать эксплоит для данной уязвимости очень просто. Несмотря на то, что в настоящее время инструмент для эксплуатации конкретно этой бреши отсутствует, в интернете с легкостью можно найти код и кастомизировать его под эту уязвимость.

XZERES уже выпустила обновления, которые необходимо установить вручную.   

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.