全球風力發電和太陽能系統存安全缺陷
責編:mhshi |2015-06-16 16:47:09德國安全研究員Maxim Rupp發現了大量清潔能源系統(包括太陽能照明和風力渦輪機)的安全問題。 網絡攻擊的可能后果是能源供應的中斷。 根據工業控制系統網絡應急響應小組(ICS-CERT),最令人不安的方面相關的必要的安全漏洞是低水平的技能開發。
Rupp報道幾個安全漏洞在web控制以下系統:
·the?XZERES?442SR?Wind?Turbine; ·the?Sinapsi?eSolar?Light; ·the?RLE?Nova-Wind?Turbine;
安全問題一:XZERES 442SR
XZERES 442SR 風力發電系統上存在的是跨站請求偽造漏洞,攻擊者可以利用該漏洞更改該系統web管理界面管理員的密碼、更改訪問web界面的網絡設置,也就是說攻擊者可 以獲得發電系統的全部控制權限。ICS-CERT(工控系統網絡應急響應小組)將這一安全問題的危險等級標記為10。
安全問題二:Sinapsi eSolar Light
下面讓我們看看小型光伏發電站Sinapsi檢測和管理系統中的漏洞,它可以允許攻擊者查看以保存的密碼,幸運的是該漏洞不會被攻擊者遠程利用。
關于前兩個安全問題,廠商已經發布了修復補丁,美國政府也督促用戶盡快更新他們的系統。
安全問題三:RLE Nova-Wind Turbine
該系統中的漏洞是:訪問web界面的密碼是存儲在明文文件中的。這樣的話,惡意用戶就可以在未授權的情況下訪問設備并更改設備的配置。
清潔能源系統安全問題不容小覷
福布斯上可以找到31篇與sinapsi系統有關的文章、18篇與XZERES 442SR服務器有關的文章、1篇與RLE Nova-Wind Turbine有關的文章。據知大部分的Sinapsi信號燈都被用在意大利最古老的一所大學(那不勒斯費德里克二世大學)中,所以如果攻擊者想使該大學 停電的話,他就需要找到一些有利的入口點。
但是如果有這幾個漏洞幫助的話,攻擊者就可坐在幾千米以外的家中操縱一切,入侵系統、斷電等等。不要誤以為這只是理論層面上的實現,在現實中也發生的。
大部分的SCADA系統缺乏安全設計,會被遠程利用,可能會導致嚴重的后果。對于清潔能源系統,是時候提升安全性能了,要不然可能會帶來及其嚴重的后果。
下一篇:小心短信中的木馬鏈接