آسیب پذیری توربین های بادی Xzeres

آسیب پذیری توربین های بادی Xzeres

بررسی اجمالی آسیب پذیری

سیستم عامل 442SR هر دوی شیوه‌های POST و GET برای ورود داده را پشتیبانی می‌کند. با استفاده از شیوه‌ی GET، مهاجم می‌تواند شناسه‌ی کاربری و گذرواژه‌ی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژه‌ی مربوط به شناسه‌ی کاربری پیشفرض را تغییر دهد. شناسه‌ی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد.

 

سابقه محصول آسیب پذیر

به گفته‌ی این شرکت، توربین مورد نظر «در سراسر بخش انرژی» جهان استفاده شده است. این مدل بخشی از توربین‌های مقیاس کوچک شرکت XZERES است.

 

محصولات آسیب پذیر

توربین‌های بادی مدل 442 SR شرکت XZERES

 

بهره برداری از آسیب پذیری

سیستم عامل 442SR هر دوی شیوه‌های POST و GET برای ورود داده را پشتیبانی می‌کند. با استفاده از شیوه‌ی GET، مهاجم می‌تواند شناسه‌ی کاربری و گذرواژه‌ی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژه‌ی مربوط به شناسه‌ی کاربری پیشفرض را تغییر دهد. شناسه‌ی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد. علاوه بر این، ایجاد کد مخرب جهت سوءاستفاده از این آسیب‌‌پذیری ساده است؛ اگرچه کد از پیش آماده‌ای جهت این کار وجود ندارد، اما با اندکی دستکاری در کدهای دیگر، می‌توان از آنها برای اینکار بهره برد.

 

توصیه نامه

در ادامه به منظور برقراری امنیت بیشتر در زیرساخت صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

  • بازرسی امنیت فیزیکی، پیرامونی و محیطی
  • ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
  • تست‌نفوذ زیرساخت کنترل صنعتی
  • وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
  • امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
  • استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
  • استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
  • پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
  • زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)

مولف: اسماعیل باقری اصل

کد: 50014665

زمان انتشار: جمعه 21 اردیبهشت 1397 11:30 ب.ظ

منبع: ICS-CERT

تعداد نمایش: 38

ورود به سامانه


نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید