随着物联网理论在日常产品当中的不断延伸,由此带来的安全漏洞也自这项新兴技术诞生之日开始持续困扰着整个互联网环境。
龙港ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:028-86922220(备注:SSL证书合作)期待与您的合作!
在此前披露了某台气体探测器的内置固件中存在的两项高危安全隐患之后,最近由ICS-CERT公布的另一条消息又引起了我们的关注。根据消息所言,XZERES 442SR智能风力涡轮机所配备的Web管理面板内同样存在安全漏洞。
根据ICS-CERT方面的说明,这套管理面板可能受到XSS(即跨站点脚本)攻击的影响,这意味着即使是技术水平最低的脚本黑客亦可能对其加以利用。
攻击者能够在受影响的风力涡轮机中获得管理权限
“442SR操作系统能够从输入数据当中识别出POST与GET两种方法,”ISC-CERT在通知当中写道。“通过使用GET方法,攻击者能够从其浏览器当中检索到对应ID并借此对默认用户ID进行变更。”
通过变更现有用户ID,攻击者们将能够窃取到管理权限,并利用相关能力对涡轮机的全部控制功能加以访问。
利用这一攻击点,黑客们能够降低涡轮机功率,从而借此间接切断由其负责供电的对应系统电源。根据接入该涡轮机的实际系统类型,这种行为可能导致故障、敏感设备损坏甚至人员生命财产威胁。
脚本小子欢欣鼓舞,物联网攻击异常“亲民”
尽管ISC-CERT以及风力涡轮机制造商都表示目前尚未出现对这一漏洞加以利用的黑客活动,不过必须承认的是这类恶意行为的知识成本极低,任何一位入门级信息安全研究人员都能借此完成入侵。ISC-CERT专家们则认为,利用这一漏洞、攻击者们将能够非常轻松地使用各类在线脚本。
由于这项漏洞的使用方式相对简单,因此其已经被确定为CVE-2015-0895号漏洞并在CVSS-v3危险度评分当中得到了9.8分(满分为10分)。
作为美国的一家风力涡轮机制造商,XZERES公司已经发布了相关补丁,客户需要以手动方式在每台设备上加以安装。
独立安全研究员Karn Ganeshen正是发现这一问题的技术专家之一。过去,Ganeshen先生曾经先后在多款产品当中发现过类似的安全漏洞,其中包括路由器、调制解调器、FTP服务器甚至是谷歌Chrome浏览器。
备注: ICS-CERT将此项漏洞列为XSS,但CVE方面则将其划归CSRF。由于我们尚未得到任何该漏洞被实际使用的信息,因此这里姑且采用ICS-CERT方面提供的描述方式。
XZERES 442SR风力涡轮机
该漏洞的CVE编号为CVE-2015-0985,危害级别为高,CVSS-v3评分级别高 达9.8/10。影响XZERES 442SR Wind Turbine产品,XZERES 442SR OS on 442SR是美国XZERES公司的一套运行于442SR风力涡轮机中的操作系统。CVE-2015-0985允许远程攻击者构建恶意URI,诱使用户解 析,可以目标用户上下文执行恶意操作,如修复账户密码。目前厂商已经发布了升级补丁以修复这个安全问题,厂商补丁下载页面:
http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/
部分信息参考自国家信息安全漏洞共享平台(CNVD-ID为CNVD-2015-02175)
https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01
网站名称:黑客可通过XSS攻击物联网风力涡轮机
链接URL:http://www.shufengxianlan.com/qtweb/news6/481006.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联