В программе для управления ветряками обнаружена уязвимость CSRF

Недавно специалисты по безопасности обнаружили уязвимость типа CSRF (межсайтовая подделка запроса) в операционной системе, которая используется для управления ветряками производства компании XZERES. Среди всего прочего, хакер может дистанционно отключить ветряные установки, которые подключены к этой программе.

В описании уязвимости ICSA-15-155-01 указано, что баг содержится в программе для модели ветрогенератора 442SR. Это довольно популярная модель, которая используется в ветряных электростанциях США, Великобритании, Италии, Японии, Вьетнама и других стран.

«Успешная эксплуатация уязвимости позволяет получить ID из браузера и изменить идентификатор по умолчанию, — говорится в справочном документе от ICS-CERT. — Эксплоит способен привести к потере энергоподачи всех подключенных систем».

«Операционная система 442SR принимает команды POST и GET для ввода данных. Используя метод GET, атакующая сторона может получить идентификатор из браузера и изменить идентификатор по умолчанию. В свою очередь, пользователь по умолчанию имеет права администратора во всей системе».

Производитель описывает 442SR как малый и чрезвычайно эффективный ветрогенератор для получения электричества по низкой цене. Он отличается надёжностью и простотой конструкции. Малое количество деталей позволяет снизить стоимость обслуживания, а также предполагает простую установку генератора.

В данный момент пока не замечено эксплоитов для данной уязвимости, но специалисты ICS-CERT отмечают, что рабочий эксплоит очень легко написать. В Сети есть заготовки эксплоитов, которые несложно модифицировать для этой уязвимости.