独立研究员Maxim Rupp在XZERES制造的442SR型号涡轮发电机操作系统中发现一个跨站请求伪造漏洞。XZERES已提供可缓解该漏洞的补丁。
这个漏洞可被远程利用。
影响产品
以下XZERES产品会受到影响:
442SR风力涡轮机
影响
对漏洞的成功利用允许通过浏览器追溯用户名密码,并且将允许修改默认用户密码。这个漏洞利用可导致所有附着系统损耗功率。
每个组织机构所遭受的影响有所不同。NCCIC/ICS-SERT建议基于运行环境、架构及产品执行等评估漏洞所带来的影响。
背景
XZERES是一家美国能源公司,在世界多个国家爱设有代表处,包括美国、英国、意大利、日本、加勒比地区、越南、菲律宾及缅甸。
受影响的产品442SR风力涡轮机拥有一个网络界面系统。XZERE表示,442SR部署在能源行业。XZERES表示这个产品的用户遍布全球。
漏洞特征
漏洞概览:跨站请求伪造漏洞
442SR操作系统可识别数据输入中的POST及GET方法。通过GET方法攻击者可从浏览器追溯出用户密码并修改。默认的用户拥有对整个系统的管理权限。
该漏洞编号为CVE-2015-0985, CVSS v2分数为10,CVSS的向量字符串为(AV:N/AC:L/Au:N/C:C/I:C/A:C)。
漏洞详情
可利用性
整个漏洞可被远程利用。
漏洞是否已被利用
未见专门针对这一漏洞的公开漏洞利用。
难点
编造可行的漏洞利用很容易。虽然没有针对这个漏洞的公开利用,但通过修改网上现有的代码就可以轻易发动跨站请求伪造攻击。
缓解措施
XZERES开发了一种减缓该漏洞危害的手动补丁。可联系该公司获取补丁执行指导及支持。
ICS-CERT鼓励资产所有者采取更多防御措施阻止这个漏洞及其他漏洞所带来的网络安全风险。
将所有控制系统设备及/或系统的网络接触最小化,确保无法从互联网访问。
定位防火墙背后的控制系统网络及远程设备,并将其隔离出业务网络。
当要求进行远程访问时,使用安全方式如VPN访问,但需要注意的是VPN也有可能存在漏洞因此应该更新至最新版本。同时,VPN的安全性与联网设备的安全性一样。
可参见如下网页了解关于控制系统安全性的内容http://ics-cert.us-cert.gov/content/recommended-practices。另外也可阅读ISC-CERT网站的其他内容获取更多实践方法。
如有组织机构发现任何可疑恶意活动,应当按照已有的内部程序执行,并将结果汇报给ICS-CERT以便追踪相关事件。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。