В ветрогенераторах XZERES найдена уязвимость
Главная » Новости

В ветрогенераторах XZERES найдена уязвимость

Александр Панасенко 10 Июня 2015 - 19:32
...

Ветряные электрогенераторы в последнее время стали в огромных количествах появляться в Соединенных Штатах, и многие из них подключены к Интернету. Это, конечно же, значит, что эти генераторы становятся естественными целями как для хакеров, так и для безопасников. Исследователь-безопасник обнаружил уязвимость межсайтовой подделки запроса (CSRF) в операционной системе ветрогенераторов производства компании XZERES.

Эта уязвимость может позволить злоумышленнику отключать подачу энергии ко всем системам, подключенным к целевой системе. Уязвимость содержится в системе, работающей на ветрогенераторе модели 442SR.

Компания XZERES, выпускающая данные генераторы, оповестила об этом своих клиентов в ряде стран, включая США, Великобританию, Италию, Японию, Вьетнам и другие.

«Успешная эксплуатация этой уязвимости позволяет извлекать из браузера ID и изменять ID по умолчанию. Этот эксплойт может вызвать потерю энергоснабжения всех подключенных систем, — говорится в оповещении от ICS-CERT. — ОС 442SR распознает методы ввода данных и POST и GET. Используя метод GET, злоумышленник может извлечь ID из браузера и изменить ID пользователя по умолчанию. Пользователь по умолчанию имеет права администратора для всей системы», передает threatpost.ru.

XZERES 442SR относится к наименьшим по размеру ветрогенераторам, это не массивный ветряк, из которых составляют большие ветрогенераторные фермы. Компания определяет его как высокоэффективный малый генератор.

«Ветрогенератор XZERES 442ST разработан для генерирования дешевой возобновляемой энергии за счет высокой эффективности, надежности и долговечности. Его простая конструкция с несколькими движущимися частями снижает расходы на обслуживание и ремонт, а также обеспечивает легкость установки», — говорится в описании продукта на сайте компании.

Хотя пока эксплойт для этой уязвимости не был обнаружен, оповещение ICS-CERT говорит, что создать его несложно.

«Создать работающий эксплойт для этой уязвимости было бы легко. Конкретно для этой уязвимости нет публичного эксплойта. Тем не менее в онлайне имеется код, который легко можно модифицировать для инициации CSRF с этой уязвимостью», — говорится в оповещении.

Компания разработала патч для этой уязвимости CSRF, но его нужно устанавливать вручную. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

200 компаний уведомили Роскомнадзор об утечках данных в 2024 году
Яков Шпунт 07 Февраля 2025 - 11:35
Утечки информацииУмышленные утечки информацииКража данныхСоответствие законодательству РФ Общее Соответствие требованиям регуляторов
200 компаний уведомили Роскомнадзор об утечках данных в 2024 году

В 2024 году Роскомнадзор получил уведомления об утечках данных от 200 компаний. Годом ранее таких случаев было почти вдвое больше — о происшествиях сообщили 380 организаций.

Как объяснили представители регулятора «Коммерсанту», наибольшее число утечек зафиксировано в сфере торговли и услуг.

В 2023 году значительное количество инцидентов также произошло в страховых компаниях, медицинских и образовательных учреждениях.

«Операторы, допустившие утечку персональных данных, обязаны в течение 24 часов уведомить об этом Роскомнадзор», — напомнили в ведомстве. Это требование закреплено в законе №152-ФЗ «О персональных данных».

Однако далеко не все организации, столкнувшиеся с утечками, уведомляют Роскомнадзор. Например, Московская электронная школа (МЭШ) долгое время отрицала инцидент, произошедший осенью 2022 года. «Ростелеком» также не сообщил регулятору об утечке данных в январе 2025 года.

По данным мониторинга DLBI, несмотря на снижение общего количества утечек, их объем значительно вырос. Это привело к снижению стоимости массивов персональных данных на теневом рынке, где как минимум 60% сведений о гражданах России можно получить бесплатно.

Средний ущерб компании, допустившей утечку, составляет 41 млн рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Администрация Telegram передала данные 33 тыс. пользователей
Новость
Администрация Telegram передала данные 33 тыс. пользователей
Вышла окончательная версия PT NGFW
Новость
Вышла окончательная версия PT NGFW
Российский ИТ и ИБ рынки в 2024 году замедлили рост
Новость
Российский ИТ и ИБ рынки в 2024 году замедлили рост

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.