黑客可通过XSS攻击物联网风力涡轮机

随着物联网理论在日常产品当中的不断延伸，由此带来的安全漏洞也自这项新兴技术诞生之日开始持续困扰着整个互联网环境。

在此前披露了某台气体探测器的内置固件中存在的两项高危安全隐患之后，最近由ICS-CERT公布的另一条消息又引起了我们的关注。根据消息所言，XZERES 442SR智能风力涡轮机所配备的Web管理面板内同样存在安全漏洞。

根据ICS-CERT方面的说明，这套管理面板可能受到XSS(即跨站点脚本)攻击的影响，这意味着即使是技术水平最低的脚本黑客亦可能对其加以利用。

攻击者能够在受影响的风力涡轮机中获得管理权限

“442SR操作系统能够从输入数据当中识别出POST与GET两种方法，”ISC-CERT在通知当中写道。“通过使用GET方法，攻击者能够从其浏览器当中检索到对应ID并借此对默认用户ID进行变更。”

通过变更现有用户ID，攻击者们将能够窃取到管理权限，并利用相关能力对涡轮机的全部控制功能加以访问。

利用这一攻击点，黑客们能够降低涡轮机功率，从而借此间接切断由其负责供电的对应系统电源。根据接入该涡轮机的实际系统类型，这种行为可能导致故障、敏感设备损坏甚至人员生命财产威胁。

脚本小子欢欣鼓舞，物联网攻击异常“亲民”

尽管ISC-CERT以及风力涡轮机制造商都表示目前尚未出现对这一漏洞加以利用的黑客活动，不过必须承认的是这类恶意行为的知识成本极低，任何一位入门级信息安全研究人员都能借此完成入侵。ISC-CERT专家们则认为，利用这一漏洞、攻击者们将能够非常轻松地使用各类在线脚本。

由于这项漏洞的使用方式相对简单，因此其已经被确定为CVE-2015-0895号漏洞并在CVSS-v3危险度评分当中得到了9.8分(满分为10分)。

作为美国的一家风力涡轮机制造商，XZERES公司已经发布了相关补丁，客户需要以手动方式在每台设备上加以安装。

独立安全研究员Karn Ganeshen正是发现这一问题的技术专家之一。过去，Ganeshen先生曾经先后在多款产品当中发现过类似的安全漏洞，其中包括路由器、调制解调器、FTP服务器甚至是谷歌Chrome浏览器。

备注: ICS-CERT将此项漏洞列为XSS，但CVE方面则将其划归CSRF。由于我们尚未得到任何该漏洞被实际使用的信息，因此这里姑且采用ICS-CERT方面提供的描述方式。

XZERES 442SR风力涡轮机

该漏洞的CVE编号为CVE-2015-0985，危害级别为高，CVSS-v3评分级别高 达9.8/10。影响XZERES 442SR Wind Turbine产品，XZERES 442SR OS on 442SR是美国XZERES公司的一套运行于442SR风力涡轮机中的操作系统。CVE-2015-0985允许远程攻击者构建恶意URI，诱使用户解 析，可以目标用户上下文执行恶意操作，如修复账户密码。目前厂商已经发布了升级补丁以修复这个安全问题，厂商补丁下载页面：

http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/

部分信息参考自国家信息安全漏洞共享平台(CNVD-ID为CNVD-2015-02175)

https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01

作者：vul_wish

来源：51CTO