News

Forscher entdecken CSRF-Bug in der Software von Windkraftanlagen

In der letzten Zeit schießen in den USA Windkraftanlagen wie Pilze aus dem Boden, und viele von ihnen sind ans Internet angeschlossen. Und das bedeutet selbstverständlich, dass diese Stromerzeuger zu natürlichen Ziele sowohl für Hacker als auch für Sicherheitsexperten werden.

Ein Sicherheitsforscher hat eine Sicherheitslücke des Typs Cross-Site-Request-Forgery (CSRF) in einem bestimmten Windkraftanlagensystem aus der Produktion der Firma XZERES gefunden. Diese Schwachstelle könnte es einem Verbrecher ermöglichen, die Energiezufuhr an alle Systeme zu deaktivieren, die an das Zielsystem angeschlossen sind. Die Sicherheitslücke liegt in dem System vor, das auf Windkraftanlagen des Typs 442SR läuft.

Das Unternehmen XZERES, das die Anlagen produziert, hat seine Kunden in einer Reihe von Ländern über das Problem informiert, unter anderem in den USA, Großbritannien, Italien, Japan, Vietnam.

„Die erfolgreiche Ausnutzung dieser Sicherheitslücke ermöglicht es, die ID aus dem Browser auszulesen und die voreingestellte ID zu verändern. Dieses Exploit könnten das Abbrechen der Energieversorgung aller angeschlossenen Systeme nach sich ziehen“, heißt es in einer Erklärung vom ICS-CERT. „Das Betriebssystem von 442SR erkennt die beiden Dateneingabemethoden POST und GET. Unter Verwendung der Methode GET kann ein Krimineller die ID aus dem Browser erhalten und die ID des Default-Users ändern. Der Default-User hat Administratorenrechte für alle Systeme.“

Das Modell 442SR von XZERES gehört zu den kleineren Windrädern, es gehört nicht zu den massiven Anlagen, wie sie in den großen Windparks stehen. Das Unternehmen beschreibt es als einen hocheffizienten kleinen Stromerzeuger.

„Die Windkraftanlage XZERES 442ST wurde für die Erzeugung günstiger erneuerbarer Energie entwickelt, und zwar durch Effektivität, Zuverlässigkeit und lange Lebensdauer. Das schlichte Design einiger weniger beweglicher Teile senkt die Wartungs- und Instandhaltungskosten und gewährleistet gleichzeitig eine einfache Installation“, heißt es in einer Produktbeschreibung auf der Website des Unternehmens.

Obgleich bisher noch kein Exploit für diese Sicherheitslücke gefunden wurde, heißt es in der Mitteilung des ICS-CERT, dass es nicht schwierig wäre, ein solches zu entwickeln.

„Ein funktionierendes Exploit für diese Sicherheitslücke zu entwickeln, wäre einfach. Für diese konkrete Schwachstelle gibt es kein öffentliches Exploit. Doch online ist Code verfügbar, der leicht für eine CSRF-Initiierung über diese Sicherheitslücke modifiziert werden könnte“, heißt es in der Erklärung.

Das Unternehmen hat ein Patch für diese CSRF-Sicherheitslücke entwickelt, das allerdings manuell installiert werden muss.

Quelle: Threatpost

Forscher entdecken CSRF-Bug in der Software von Windkraftanlagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach