Используя метод ввода данных GET, злоумышленник может получить в браузере пароль пользователя по умолчанию и изменить его.
Компьютерная группа реагирования на чрезвычайные ситуации ICS-CERT сообщила об CSRF- уязвимости в системе управления ветрогенераторов с web-интерфейсом производства XZERES, позволяющей злоумышленникам получить учетные данные пользователей.
Брешь присутствует в небольших турбинах модели 442 SR, которые, по словам экспертов, используются в энергетическом секторе по всему миру. Как сообщается в уведомлении ICS-CERT, эксплуатация уязвимости позволяет вызвать недостаток электроэнергии для всех питаемых ветрогенератором систем.
Проблема заключается в том, что ОС, под управлением которой работает турбина, распознает оба метода передачи данных – POST и GET. Используя GET, злоумышленник может получить в браузере пароль пользователя по умолчанию и изменить его. При этом пользователь по умолчанию обладает правами администратора на всей системе.
Как сообщили эксперты, создать эксплоит для данной уязвимости очень просто. Несмотря на то, что в настоящее время инструмент для эксплуатации конкретно этой бреши отсутствует, в интернете с легкостью можно найти код и кастомизировать его под эту уязвимость.
XZERES уже выпустила обновления, которые необходимо установить вручную.
Гравитация научных фактов сильнее, чем вы думаете