El investigador Maxim Rupp ha descubierto una vulnerabilidad
de falsificación de petición en sitios cruzados (cross-site request forgery,
CSRF) en el sistema operativo de las turbinas de viento XZERES 442SR. La
vulnerabilidad se ha catalogado de Importancia: 5 - Crítica
Recursos afectados
- Turbina de viento XZERES 442SR
- El fallo permite la recuperación desde el navegador de la contraseña del usuario por defecto. De este modo, es posible modificarla y provocar, entre cosas, la pérdida de energía de los sistemas conectados.
- Es necesario contactar directamente con el equipo técnico de seguridad de XZERES para que le indiquen los pasos a seguir para aplicar el parche que han desarrollado.
- ISC-CERT. XZERES 442SR Wind Turbine Vulnerability https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01