Vulnerabilidad CSRF en turbinas XZERES

Fecha de publicación:

18/03/2015

Importancia:

5 - Crítica

Recursos afectados:

Turbina de viento XZERES 442SR

Descripción:

El investigador Maxim Rupp ha descubierto una vulnerabilidad de falsificación de petición en sitios cruzados (cross-site request forgery, CSRF) en el sistema operativo de las turbinas de viento XZERES 442SR.

Solución:

Es necesario contactar directamente con el equipo técnico de seguridad de XZERES para que le indiquen los pasos a seguir para aplicar el parche que han desarrollado.

Detalle:

El fallo permite la recuperación desde el navegador de la contraseña del usuario por defecto. De este modo, es posible modificarla y provocar, entre cosas, la pérdida de energía de los sistemas conectados.

Referencias:

ISC-CERT. XZERES 442SR Wind Turbine Vulnerability

Etiquetas:

Actualización

Vulnerabilidad

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad CSRF en turbinas XZERES

Múltiples vulnerabilidades en Automation Studio de B&R

Múltiples vulnerabilidades en productos de ABB

Vulnerabilidad de escape del entorno de escritorio restringido en productos de Becton, Dickinson and Company (BD)

Vulnerabilidad de fuga de información en Tab-Ex 02 de PEPPERL+FUCHS

Desbordamiento de búfer en múltiples productos de Hirschmann