Tinha que acontecer, vamos supor: uma vez que mesmo uma turbina eólica utilitário-grade pode ser fornecido com uma interface de controle Webby calhar, alguém foi obrigado a fazê-lo mal.
Isso é o que surgiu em um novo consultivo ICS-CERT: detalhes CVE-2015-0985 como turbinas de XZERES fabricante norte-americanos permitem que o nome de usuário e senha pode ser recuperada a partir da turbina 442 SR da empresa.
Como as notas de assessoria , "Este exploit pode causar uma perda de poder para todos os sistemas conectados".
A turbina em questão é, de acordo com a empresa ", implantado em todo o sector da energia" em todo o mundo. É parte de uma série de turbinas de menor escala de XZERES .
O bug em si é básica: "O 442SR OS reconhece tanto o GET e POST métodos de entrada de dados", afirma consultoria. "Ao usar o método GET, um atacante pode recuperar a senha nome de usuário do navegador e vai permitir que a senha do usuário padrão a ser alterado. O usuário padrão tem direitos de administrador para todo o sistema ".
Além disso, o bug é uma coisa fácil de explorar: "Elaboração de uma trabalhadora exploit para esta vulnerabilidade seria fácil. Não há público exploit para esta vulnerabilidade exata. No entanto, existe código em linha que pode ser facilmente modificado para iniciar uma CSRF com esta vulnerabilidade ".
Como sempre, os usuários da turbina eólica são aconselhados a manter o kit por trás de firewalls e só permitir o acesso remoto através de uma VPN.
XZERES emitiu um patch manual para a vulnerabilidade. ®
Nenhum comentário:
Postar um comentário