原标题:物联风力涡轮机系统存安全漏洞易遭XSS攻击

摘要:物联网IoT技术及智能联网设备固然为生活带来方便,但日益突出的安全隐患问题不容忽视。据美国工业控制系统赛博应急响应小组(ICS- CERT)发布的报告,美国XZERES公司生产的物联网智能风力涡轮机XZERES 442SR运行的操作系统存在跨站请求伪造漏洞(XSS攻击漏洞),据ICS-CERT警告利用该漏洞即使黑客新手都能够使用工具来发动跨站请求伪造 XSS攻击,获得权限控制系统。目前厂商已经发布了升级补丁以修复这个安全问题

该漏洞的CVE编号为CVE-2015-0985,危害级别为高,CVSS-v3评分级别高达9.8/10。影响XZERES 442SR Wind Turbine产品,XZERES 442SR OS on 442SR是美国XZERES公司的一套运行于442SR风力涡轮机中的操作系统。CVE-2015-0985允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作,如修复账户密码。目前厂商已经发布了升级补丁以修复这个安全问题,厂商补丁下载页面:

http://www.xzeres.com/wind-turbine-products/xzeres-442sr-small-wind-turbine/

部分信息参考自国家信息安全漏洞共享平台(CNVD-ID为CNVD-2015-02175)

https://ics-cert.us-cert.gov/advisories/ICSA-15-076-01