Ветряные электростанции играют всё более важную роль в генерации электричества для многих стран. Современные модели предусматривают подключение к интернету. Естественно, подключённые к Сети ветряки становятся натуральной мишенью для хакеров.

Недавно специалисты по безопасности обнаружили уязвимость типа CSRF (межсайтовая подделка запроса) в операционной системе, которая используется для управления ветряками производства компании XZERES. Среди всего прочего, злоумышленник может дистанционно отключить ветряные установки, которые подключены к этой программе.

В описании уязвимости ICSA-15-155-01 указано, что баг содержится в программе для модели ветрогенератора 442SR. Это довольно популярная модель, которая используется в ветряных электростанциях США, Великобритании, Италии, Японии, Вьетнама и других стран.

«Успешная эксплуатация уязвимости позволяет получить ID из браузера и изменить идентификатор по умолчанию, — говорится в справочном документе от ICS-CERT. — Эксплоит способен привести к потере энергоподачи всех подключенных систем».

«Операционная система 442SR принимает команды POST и GET для ввода данных. Используя метод GET, атакующая сторона может получить идентификатор из браузера и изменить идентификатор по умолчанию. В свою очередь, пользователь по умолчанию имеет права администратора во всей системе».

Производитель описывает 442SR как малый и чрезвычайно эффективный ветрогенератор для получения электричества по низкой цене. Он отличается надёжностью и простотой конструкции. Малое количество деталей позволяет снизить стоимость обслуживания, а также предполагает простую установку генератора.

В данный момент пока не замечено эксплоитов для данной уязвимости, но специалисты ICS-CERT отмечают, что рабочий эксплоит очень легко написать. В Сети есть заготовки эксплоитов, которые несложно модифицировать для этой уязвимости.

Производитель выпустил патч, закрывающий данный баг. Каждый оператор ветряных электростанций должен установить его вручную.

Фото: Orkney Renewables Ltd.



2 комментария

  1. 09.06.2015 at 18:13

    Ну, и что? Можно их в результате направить в одну точку и устроить там ураган?

Оставить мнение