Ветряные электростанции играют всё более важную роль в генерации электричества для многих стран. Современные модели предусматривают подключение к интернету. Естественно, подключённые к Сети ветряки становятся натуральной мишенью для хакеров.
Недавно специалисты по безопасности обнаружили уязвимость типа CSRF (межсайтовая подделка запроса) в операционной системе, которая используется для управления ветряками производства компании XZERES. Среди всего прочего, злоумышленник может дистанционно отключить ветряные установки, которые подключены к этой программе.
В описании уязвимости ICSA-15-155-01 указано, что баг содержится в программе для модели ветрогенератора 442SR. Это довольно популярная модель, которая используется в ветряных электростанциях США, Великобритании, Италии, Японии, Вьетнама и других стран.
«Успешная эксплуатация уязвимости позволяет получить ID из браузера и изменить идентификатор по умолчанию, — говорится в справочном документе от ICS-CERT. — Эксплоит способен привести к потере энергоподачи всех подключенных систем».
«Операционная система 442SR принимает команды POST и GET для ввода данных. Используя метод GET, атакующая сторона может получить идентификатор из браузера и изменить идентификатор по умолчанию. В свою очередь, пользователь по умолчанию имеет права администратора во всей системе».
Производитель описывает 442SR как малый и чрезвычайно эффективный ветрогенератор для получения электричества по низкой цене. Он отличается надёжностью и простотой конструкции. Малое количество деталей позволяет снизить стоимость обслуживания, а также предполагает простую установку генератора.
В данный момент пока не замечено эксплоитов для данной уязвимости, но специалисты ICS-CERT отмечают, что рабочий эксплоит очень легко написать. В Сети есть заготовки эксплоитов, которые несложно модифицировать для этой уязвимости.
Производитель выпустил патч, закрывающий данный баг. Каждый оператор ветряных электростанций должен установить его вручную.
Фото: Orkney Renewables Ltd.
