黑客可通過(guò)XSS攻擊物聯(lián)網(wǎng)風(fēng)力渦輪機(jī)
隨著物聯(lián)網(wǎng)理論在日常產(chǎn)品當(dāng)中的不斷延伸,由此帶來(lái)的安全漏洞也自這項(xiàng)新興技術(shù)誕生之日開(kāi)始持續(xù)困擾著整個(gè)互聯(lián)網(wǎng)環(huán)境。
在此前披露了某臺(tái)氣體探測(cè)器的內(nèi)置固件中存在的兩項(xiàng)高危安全隱患之后,最近由ICS-CERT公布的另一條消息又引起了我們的關(guān)注。根據(jù)消息所言,XZERES 442SR智能風(fēng)力渦輪機(jī)所配備的Web管理面板內(nèi)同樣存在安全漏洞。
根據(jù)ICS-CERT方面的說(shuō)明,這套管理面板可能受到XSS(即跨站點(diǎn)腳本)攻擊的影響,這意味著即使是技術(shù)水平最低的腳本黑客亦可能對(duì)其加以利用。
攻擊者能夠在受影響的風(fēng)力渦輪機(jī)中獲得管理權(quán)限
“442SR操作系統(tǒng)能夠從輸入數(shù)據(jù)當(dāng)中識(shí)別出POST與GET兩種方法,”ISC-CERT在通知當(dāng)中寫道。“通過(guò)使用GET方法,攻擊者能夠從其瀏覽器當(dāng)中檢索到對(duì)應(yīng)ID并借此對(duì)默認(rèn)用戶ID進(jìn)行變更。”
通過(guò)變更現(xiàn)有用戶ID,攻擊者們將能夠竊取到管理權(quán)限,并利用相關(guān)能力對(duì)渦輪機(jī)的全部控制功能加以訪問(wèn)。
利用這一攻擊點(diǎn),黑客們能夠降低渦輪機(jī)功率,從而借此間接切斷由其負(fù)責(zé)供電的對(duì)應(yīng)系統(tǒng)電源。根據(jù)接入該渦輪機(jī)的實(shí)際系統(tǒng)類型,這種行為可能導(dǎo)致故障、敏感設(shè)備損壞甚至人員生命財(cái)產(chǎn)威脅。
腳本小子歡欣鼓舞,物聯(lián)網(wǎng)攻擊異常“親民”
盡管ISC-CERT以及風(fēng)力渦輪機(jī)制造商都表示目前尚未出現(xiàn)對(duì)這一漏洞加以利用的黑客活動(dòng),不過(guò)必須承認(rèn)的是這類惡意行為的知識(shí)成本極低,任何一位入門級(jí)信息安全研究人員都能借此完成入侵。ISC-CERT專家們則認(rèn)為,利用這一漏洞、攻擊者們將能夠非常輕松地使用各類在線腳本。
由于這項(xiàng)漏洞的使用方式相對(duì)簡(jiǎn)單,因此其已經(jīng)被確定為CVE-2015-0895號(hào)漏洞并在CVSS-v3危險(xiǎn)度評(píng)分當(dāng)中得到了9.8分(滿分為10分)。
作為美國(guó)的一家風(fēng)力渦輪機(jī)制造商,XZERES公司已經(jīng)發(fā)布了相關(guān)補(bǔ)丁,客戶需要以手動(dòng)方式在每臺(tái)設(shè)備上加以安裝。
獨(dú)立安全研究員Karn Ganeshen正是發(fā)現(xiàn)這一問(wèn)題的技術(shù)專家之一。過(guò)去,Ganeshen先生曾經(jīng)先后在多款產(chǎn)品當(dāng)中發(fā)現(xiàn)過(guò)類似的安全漏洞,其中包括路由器、調(diào)制解調(diào)器、FTP服務(wù)器甚至是谷歌Chrome瀏覽器。
備注: ICS-CERT將此項(xiàng)漏洞列為XSS,但CVE方面則將其劃歸CSRF。由于我們尚未得到任何該漏洞被實(shí)際使用的信息,因此這里姑且采用ICS-CERT方面提供的描述方式。
XZERES 442SR風(fēng)力渦輪機(jī)
該漏洞的CVE編號(hào)為CVE-2015-0985,危害級(jí)別為高,CVSS-v3評(píng)分級(jí)別高 達(dá)9.8/10。影響XZERES 442SR Wind Turbine產(chǎn)品,XZERES 442SR OS on 442SR是美國(guó)XZERES公司的一套運(yùn)行于442SR風(fēng)力渦輪機(jī)中的操作系統(tǒng)。CVE-2015-0985允許遠(yuǎn)程攻擊者構(gòu)建惡意URI,誘使用戶解 析,可以目標(biāo)用戶上下文執(zhí)行惡意操作,如修復(fù)賬戶密碼。目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題,廠商補(bǔ)丁下載頁(yè)面:
http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/
部分信息參考自國(guó)家信息安全漏洞共享平臺(tái)(CNVD-ID為CNVD-2015-02175)
https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01
