Vulnerabilidad CSRF en turbinas XZERES

Fecha de publicación:

18/03/2015

Importancia:

5 - Crítica

Recursos afectados:

Turbina de viento XZERES 442SR

Descripción:

El investigador Maxim Rupp ha descubierto una vulnerabilidad de falsificación de petición en sitios cruzados (cross-site request forgery, CSRF) en el sistema operativo de las turbinas de viento XZERES 442SR.

Solución:

Es necesario contactar directamente con el equipo técnico de seguridad de XZERES para que le indiquen los pasos a seguir para aplicar el parche que han desarrollado.

Detalle:

El fallo permite la recuperación desde el navegador de la contraseña del usuario por defecto. De este modo, es posible modificarla y provocar, entre cosas, la pérdida de energía de los sistemas conectados.

Referencias:

ISC-CERT. XZERES 442SR Wind Turbine Vulnerability

Etiquetas:

Actualización

Vulnerabilidad

Infraestructuras críticas

Accesos corporativos

Vulnerabilidad CSRF en turbinas XZERES

Múltiples vulnerabilidades en productos de Trane

Omisión de comprobación de la integridad del FW en múltiples productos de ABB

Múltiples vulnerabilidades en productos PILZ

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa