Vulnerabilidad CSRF en turbinas XZERES

Fecha de publicación:

18/03/2015

Importancia:

5 - Crítica

Recursos afectados:

Turbina de viento XZERES 442SR

Descripción:

El investigador Maxim Rupp ha descubierto una vulnerabilidad de falsificación de petición en sitios cruzados (cross-site request forgery, CSRF) en el sistema operativo de las turbinas de viento XZERES 442SR.

Solución:

Es necesario contactar directamente con el equipo técnico de seguridad de XZERES para que le indiquen los pasos a seguir para aplicar el parche que han desarrollado.

Detalle:

El fallo permite la recuperación desde el navegador de la contraseña del usuario por defecto. De este modo, es posible modificarla y provocar, entre cosas, la pérdida de energía de los sistemas conectados.

Referencias:

ISC-CERT. XZERES 442SR Wind Turbine Vulnerability

Etiquetas:

Actualización

Vulnerabilidad

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad CSRF en turbinas XZERES

Ejecución de código en Digi ConnectPort X2D Gateway

Divulgación de información en OPC UA .NET Standard Reference Server

Múltiples vulnerabilidades en Bosch BF-OS

Múltiples vulnerabilidades en productos ABB

Vulnerabilidad de denegación de servicio en productos Rockwell Automation