隨著物聯(lián)網(wǎng)理論在日常產(chǎn)品當(dāng)中的不斷延伸，由此帶來的安全漏洞也自這項新興技術(shù)誕生之日開始持續(xù)困擾著整個互聯(lián)網(wǎng)環(huán)境。

[[158758]]

在此前披露了某臺氣體探測器的內(nèi)置固件中存在的兩項高危安全隱患之后，最近由ICS-CERT公布的另一條消息又引起了我們的關(guān)注。根據(jù)消息所言，XZERES 442SR智能風(fēng)力渦輪機所配備的Web管理面板內(nèi)同樣存在安全漏洞。

根據(jù)ICS-CERT方面的說明，這套管理面板可能受到XSS(即跨站點腳本)攻擊的影響，這意味著即使是技術(shù)水平最低的腳本黑客亦可能對其加以利用。

攻擊者能夠在受影響的風(fēng)力渦輪機中獲得管理權(quán)限

“442SR操作系統(tǒng)能夠從輸入數(shù)據(jù)當(dāng)中識別出POST與GET兩種方法，”ISC-CERT在通知當(dāng)中寫道。“通過使用GET方法，攻擊者能夠從其瀏覽器當(dāng)中檢索到對應(yīng)ID并借此對默認(rèn)用戶ID進(jìn)行變更。”

通過變更現(xiàn)有用戶ID，攻擊者們將能夠竊取到管理權(quán)限，并利用相關(guān)能力對渦輪機的全部控制功能加以訪問。

利用這一攻擊點，黑客們能夠降低渦輪機功率，從而借此間接切斷由其負(fù)責(zé)供電的對應(yīng)系統(tǒng)電源。根據(jù)接入該渦輪機的實際系統(tǒng)類型，這種行為可能導(dǎo)致故障、敏感設(shè)備損壞甚至人員生命財產(chǎn)威脅。

腳本小子歡欣鼓舞，物聯(lián)網(wǎng)攻擊異常“親民”

盡管ISC-CERT以及風(fēng)力渦輪機制造商都表示目前尚未出現(xiàn)對這一漏洞加以利用的黑客活動，不過必須承認(rèn)的是這類惡意行為的知識成本極低，任何一位入門級信息安全研究人員都能借此完成入侵。ISC-CERT專家們則認(rèn)為，利用這一漏洞、攻擊者們將能夠非常輕松地使用各類在線腳本。

由于這項漏洞的使用方式相對簡單，因此其已經(jīng)被確定為CVE-2015-0895號漏洞并在CVSS-v3危險度評分當(dāng)中得到了9.8分(滿分為10分)。

作為美國的一家風(fēng)力渦輪機制造商，XZERES公司已經(jīng)發(fā)布了相關(guān)補丁，客戶需要以手動方式在每臺設(shè)備上加以安裝。

獨立安全研究員Karn Ganeshen正是發(fā)現(xiàn)這一問題的技術(shù)專家之一。過去，Ganeshen先生曾經(jīng)先后在多款產(chǎn)品當(dāng)中發(fā)現(xiàn)過類似的安全漏洞，其中包括路由器、調(diào)制解調(diào)器、FTP服務(wù)器甚至是谷歌Chrome瀏覽器。

備注: ICS-CERT將此項漏洞列為XSS，但CVE方面則將其劃歸CSRF。由于我們尚未得到任何該漏洞被實際使用的信息，因此這里姑且采用ICS-CERT方面提供的描述方式。

XZERES 442SR風(fēng)力渦輪機

該漏洞的CVE編號為CVE-2015-0985，危害級別為高，CVSS-v3評分級別高 達(dá)9.8/10。影響XZERES 442SR Wind Turbine產(chǎn)品，XZERES 442SR OS on 442SR是美國XZERES公司的一套運行于442SR風(fēng)力渦輪機中的操作系統(tǒng)。CVE-2015-0985允許遠(yuǎn)程攻擊者構(gòu)建惡意URI，誘使用戶解 析，可以目標(biāo)用戶上下文執(zhí)行惡意操作，如修復(fù)賬戶密碼。目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題，廠商補丁下載頁面：

http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/

部分信息參考自國家信息安全漏洞共享平臺(CNVD-ID為CNVD-2015-02175)

https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01