隨著物聯(lián)網(wǎng)理論在日常產(chǎn)品當中的不斷延伸，由此帶來的安全漏洞也自這項新興技術誕生之日開始持續(xù)困擾著整個互聯(lián)網(wǎng)環(huán)境。

[[158758]]

在此前披露了某臺氣體探測器的內置固件中存在的兩項高危安全隱患之后，最近由ICS-CERT公布的另一條消息又引起了我們的關注。根據(jù)消息所言，XZERES 442SR智能風力渦輪機所配備的Web管理面板內同樣存在安全漏洞。

根據(jù)ICS-CERT方面的說明，這套管理面板可能受到XSS(即跨站點腳本)攻擊的影響，這意味著即使是技術水平最低的腳本黑客亦可能對其加以利用。

攻擊者能夠在受影響的風力渦輪機中獲得管理權限

“442SR操作系統(tǒng)能夠從輸入數(shù)據(jù)當中識別出POST與GET兩種方法，”ISC-CERT在通知當中寫道。“通過使用GET方法，攻擊者能夠從其瀏覽器當中檢索到對應ID并借此對默認用戶ID進行變更。”

通過變更現(xiàn)有用戶ID，攻擊者們將能夠竊取到管理權限，并利用相關能力對渦輪機的全部控制功能加以訪問。

利用這一攻擊點，黑客們能夠降低渦輪機功率，從而借此間接切斷由其負責供電的對應系統(tǒng)電源。根據(jù)接入該渦輪機的實際系統(tǒng)類型，這種行為可能導致故障、敏感設備損壞甚至人員生命財產(chǎn)威脅。

腳本小子歡欣鼓舞，物聯(lián)網(wǎng)攻擊異常“親民”

盡管ISC-CERT以及風力渦輪機制造商都表示目前尚未出現(xiàn)對這一漏洞加以利用的黑客活動，不過必須承認的是這類惡意行為的知識成本極低，任何一位入門級信息安全研究人員都能借此完成入侵。ISC-CERT專家們則認為，利用這一漏洞、攻擊者們將能夠非常輕松地使用各類在線腳本。

由于這項漏洞的使用方式相對簡單，因此其已經(jīng)被確定為CVE-2015-0895號漏洞并在CVSS-v3危險度評分當中得到了9.8分(滿分為10分)。

作為美國的一家風力渦輪機制造商，XZERES公司已經(jīng)發(fā)布了相關補丁，客戶需要以手動方式在每臺設備上加以安裝。

獨立安全研究員Karn Ganeshen正是發(fā)現(xiàn)這一問題的技術專家之一。過去，Ganeshen先生曾經(jīng)先后在多款產(chǎn)品當中發(fā)現(xiàn)過類似的安全漏洞，其中包括路由器、調制解調器、FTP服務器甚至是谷歌Chrome瀏覽器。

備注: ICS-CERT將此項漏洞列為XSS，但CVE方面則將其劃歸CSRF。由于我們尚未得到任何該漏洞被實際使用的信息，因此這里姑且采用ICS-CERT方面提供的描述方式。

XZERES 442SR風力渦輪機

該漏洞的CVE編號為CVE-2015-0985，危害級別為高，CVSS-v3評分級別高 達9.8/10。影響XZERES 442SR Wind Turbine產(chǎn)品，XZERES 442SR OS on 442SR是美國XZERES公司的一套運行于442SR風力渦輪機中的操作系統(tǒng)。CVE-2015-0985允許遠程攻擊者構建惡意URI，誘使用戶解 析，可以目標用戶上下文執(zhí)行惡意操作，如修復賬戶密碼。目前廠商已經(jīng)發(fā)布了升級補丁以修復這個安全問題，廠商補丁下載頁面：

http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/

部分信息參考自國家信息安全漏洞共享平臺(CNVD-ID為CNVD-2015-02175)

https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01