日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
黑客可通過XSS攻擊物聯(lián)網(wǎng)風力渦輪機

隨著物聯(lián)網(wǎng)理論在日常產(chǎn)品當中的不斷延伸,由此帶來的安全漏洞也自這項新興技術(shù)誕生之日開始持續(xù)困擾著整個互聯(lián)網(wǎng)環(huán)境。

龍港ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊!成為創(chuàng)新互聯(lián)的ssl證書銷售渠道,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:028-86922220(備注:SSL證書合作)期待與您的合作!

在此前披露了某臺氣體探測器的內(nèi)置固件中存在的兩項高危安全隱患之后,最近由ICS-CERT公布的另一條消息又引起了我們的關(guān)注。根據(jù)消息所言,XZERES 442SR智能風力渦輪機所配備的Web管理面板內(nèi)同樣存在安全漏洞。

根據(jù)ICS-CERT方面的說明,這套管理面板可能受到XSS(即跨站點腳本)攻擊的影響,這意味著即使是技術(shù)水平最低的腳本黑客亦可能對其加以利用。

攻擊者能夠在受影響的風力渦輪機中獲得管理權(quán)限

“442SR操作系統(tǒng)能夠從輸入數(shù)據(jù)當中識別出POST與GET兩種方法,”ISC-CERT在通知當中寫道?!巴ㄟ^使用GET方法,攻擊者能夠從其瀏覽器當中檢索到對應(yīng)ID并借此對默認用戶ID進行變更?!?/p>

通過變更現(xiàn)有用戶ID,攻擊者們將能夠竊取到管理權(quán)限,并利用相關(guān)能力對渦輪機的全部控制功能加以訪問。

利用這一攻擊點,黑客們能夠降低渦輪機功率,從而借此間接切斷由其負責供電的對應(yīng)系統(tǒng)電源。根據(jù)接入該渦輪機的實際系統(tǒng)類型,這種行為可能導(dǎo)致故障、敏感設(shè)備損壞甚至人員生命財產(chǎn)威脅。

腳本小子歡欣鼓舞,物聯(lián)網(wǎng)攻擊異?!坝H民”

盡管ISC-CERT以及風力渦輪機制造商都表示目前尚未出現(xiàn)對這一漏洞加以利用的黑客活動,不過必須承認的是這類惡意行為的知識成本極低,任何一位入門級信息安全研究人員都能借此完成入侵。ISC-CERT專家們則認為,利用這一漏洞、攻擊者們將能夠非常輕松地使用各類在線腳本。

由于這項漏洞的使用方式相對簡單,因此其已經(jīng)被確定為CVE-2015-0895號漏洞并在CVSS-v3危險度評分當中得到了9.8分(滿分為10分)。

作為美國的一家風力渦輪機制造商,XZERES公司已經(jīng)發(fā)布了相關(guān)補丁,客戶需要以手動方式在每臺設(shè)備上加以安裝。

獨立安全研究員Karn Ganeshen正是發(fā)現(xiàn)這一問題的技術(shù)專家之一。過去,Ganeshen先生曾經(jīng)先后在多款產(chǎn)品當中發(fā)現(xiàn)過類似的安全漏洞,其中包括路由器、調(diào)制解調(diào)器、FTP服務(wù)器甚至是谷歌Chrome瀏覽器。

備注: ICS-CERT將此項漏洞列為XSS,但CVE方面則將其劃歸CSRF。由于我們尚未得到任何該漏洞被實際使用的信息,因此這里姑且采用ICS-CERT方面提供的描述方式。

XZERES 442SR風力渦輪機

該漏洞的CVE編號為CVE-2015-0985,危害級別為高,CVSS-v3評分級別高 達9.8/10。影響XZERES 442SR Wind Turbine產(chǎn)品,XZERES 442SR OS on 442SR是美國XZERES公司的一套運行于442SR風力渦輪機中的操作系統(tǒng)。CVE-2015-0985允許遠程攻擊者構(gòu)建惡意URI,誘使用戶解 析,可以目標用戶上下文執(zhí)行惡意操作,如修復(fù)賬戶密碼。目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題,廠商補丁下載頁面:

http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/

部分信息參考自國家信息安全漏洞共享平臺(CNVD-ID為CNVD-2015-02175)

https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01


當前文章:黑客可通過XSS攻擊物聯(lián)網(wǎng)風力渦輪機
文章出自:http://www.dlmjj.cn/article/dpseshh.html