Ветряные электростанции играют всё более главную роль в генерации электричества для большинства крупных стран. Современные модели предусматривают подключение к интернету. Натурально, подключённые к Сети ветряки становятся естественной мишенью для хакеров.
Недавно профессионалы в безопасности обнаружили уязвимость типа CSRF (межсайтовая подделка запроса) в операционной системе, которая используется для управления ветряками производства компании XZERES. Среди всего прочего, законопреступник может дистанционно отключить ветряные установки, которые подключены к этой программе.
В описании уязвимости ICSA-15-155-01 указано, что баг заключается в программе для прилику ветрогенератора 442SR. Это достаточно модная модель, которая используется в ветряных электростанциях США, Великобритании, Италии, Японии, Вьетнама и прочих стран.
«Удачная эксплуатация уязвимости дозволяет получить ID из браузера и изменить идентификатор по умолчанию, - говорится в справочном документе от ICS-CERT. - Эксплоит способен привести к утрате энергоподачи всех подключенных систем».
«Операционная система 442SR принимает команды POST и GET для ввода данных. Используя метод GET, нападающая сторона может получить идентификатор из браузера и изменить идентификатор по умолчанию. В свой черед, пользователь по умолчанию имеет права администратора во всей системе».
Производитель характеризует 442SR как малый и чрезвычайно эффективный ветрогенератор для получения электричества по невысокой цене. Он отличается надёжностью и простотой конструкции. Малое количество деталей дозволяет снизить стоимость обслуживания, а также предполагает простую установку генератора.
В настоящее время пока еще не замечено эксплоитов для данной уязвимости, но специалисты ICS-CERT отмечают, что рабочий эксплоит намного проще написать. В Сети есть заготовки эксплоитов, которые несложно модифицировать для этой уязвимости.
Производитель выпустил патч, покрывающий данный баг. Каждый оператор ветряных электростанций обязан установить его вручную.