Un investigador de seguridad de Alemania informó acerca de cientos de turbinas eólicas y sistemas solares con fáciles agujeros seguridad de todo el mundo debido a la falta de seguridad desde su diseño.
El investigador alemán Maxim Rupp ha descubierto numerosos problemas de seguridad en los sistemas de energía limpia, incluyendo turbinas de viento y paneles solares. La posible consecuencia de un ataque cibernético es la interrupción del suministro de energía. De acuerdo con el Equipo de Respuesta de Emergencia de Cyber Sistemas de Control Industrial (ICS-CERT), el aspecto más desconcertante relacionado con las vulnerabilidades de seguridad es el bajo nivel de conocimientos necesarios para su explotación.
Rupp reportó varios fallos de seguridad en los controles web para los siguientes sistemas:
la Turbina XZERES 442SR de viento;
la eSolar Sinapsi solar;
la Turbina RLE Nova-viento;
Una vulnerabilidad de falsificacion de solicitud cross-site XZERES, que podría ser explotada por los hackers para cambiar la contraseña de administrador para la interfaz de administración web. Los atacantes tomarían el control completo de la turbina, según ha explicado el investigador que "iba a cambiar la configuración de la turbina, o la configuración de red para acceder a la interfaz web para hacerla inaccesible. Esto puede ser sin duda fundamental para la implementación de un ataque con éxito. "El ICS-CERT ubicó el tema de seguridad como 10 de 10 en la norma Common Vulnerability Scoring System, la organización considera peligrosa la falla debido a la facilidad de la explotación de manera remota.
Consideremos ahora el fallo descubierto por Rupp en el seguimiento y la gestión del sistema de pequeñas plantas fotovoltaicas de tamaño Sinapsi. Según explicó el experto en la falla permite ver las contraseñas guardadas que pasan por el sistema de correo vinculado, por fortuna, la vulnerabilidad no es explotable de forma remota.
Dos de los vendedores ya han proporcionado una solución para los problemas por lo que el gobierno de Estados Unidos insta a los usuarios a actualizar sus sistemas tan pronto como sea posible.
El tercer fallo descubierto por Rupp en el Turbine RLE Nova-Viento. El experto advirtió que las contraseñas para acceder a la interfaz web se almacenan en un archivo de texto plano.
"Esto podría permitir a un usuario malicioso acceder al dispositivo y hacer cambios a la configuración sin autenticación", señaló ICS-CERT.
Por desgracia, el ICS-CERT intentó varias veces ponerse en contacto con el proveedor alemán RLE Internacional sin éxito.
"ICS-CERT ha intentado en varias ocasiones ponerse en contacto con el proveedor para esta grave falla y de acuerdo a nuestra política de divulgación de vulnerabilidades ahora tienen este documento informativo," la lectura de asesoramiento.
Según ha explicado varias veces y se informa en un interesante articulo publicado por Forbes sobre el tema, es muy fácil de localizar y hackear sistemas SCADA todo el mundo gracias a la disponibilidad de los motores de búsqueda Shodan.
"FORBES fue capaz de encontrar 31 sistemas relacionados con Sinapsi, 18 servidores XZERES 442SR y una turbina de viento-Nova. La mayor parte de las luces sinapsi estaban en uso en una universidad italiana, la Universita di Napoli Federico II, por lo que si cualquier hacker quería causar un apagón en la universidad estatal más antigua del mundo, tienen algunos buenos puntos de entrada potenciales. ", Afirma Forbes.
"Pero el uso de algunas de las vulnerabilidades de Rupp, sería posible para los hackers que se sienta en su escritorio a miles de millas de distancia para ir más allá, para irrumpir en los sistemas y cerrarlas. Esto no es sólo teórico. Como advierte la ICS-CERT, cualquier persona que pueda tomar las credenciales para las turbinas de viento-Nova, con sólo sentarse en el cable y husmear en el tráfico, puede "obtener acceso no autenticado al dispositivo. Esto significa que una persona maliciosa podría realizar cualquier acción en el dispositivo incluido el cambio o modificar configuraciones y ajustes. "" Afirma Forbes.
El internet de las cosas se hace cada vez mas real y algunas compañias que aun continuan con viejas o malas practicas de seguridad ya no solo se exponen a travesuras si no a riesgos potencialmente devastadores.
El investigador alemán Maxim Rupp ha descubierto numerosos problemas de seguridad en los sistemas de energía limpia, incluyendo turbinas de viento y paneles solares. La posible consecuencia de un ataque cibernético es la interrupción del suministro de energía. De acuerdo con el Equipo de Respuesta de Emergencia de Cyber Sistemas de Control Industrial (ICS-CERT), el aspecto más desconcertante relacionado con las vulnerabilidades de seguridad es el bajo nivel de conocimientos necesarios para su explotación.
Rupp reportó varios fallos de seguridad en los controles web para los siguientes sistemas:
la Turbina XZERES 442SR de viento;
la eSolar Sinapsi solar;
la Turbina RLE Nova-viento;
Una vulnerabilidad de falsificacion de solicitud cross-site XZERES, que podría ser explotada por los hackers para cambiar la contraseña de administrador para la interfaz de administración web. Los atacantes tomarían el control completo de la turbina, según ha explicado el investigador que "iba a cambiar la configuración de la turbina, o la configuración de red para acceder a la interfaz web para hacerla inaccesible. Esto puede ser sin duda fundamental para la implementación de un ataque con éxito. "El ICS-CERT ubicó el tema de seguridad como 10 de 10 en la norma Common Vulnerability Scoring System, la organización considera peligrosa la falla debido a la facilidad de la explotación de manera remota.
Consideremos ahora el fallo descubierto por Rupp en el seguimiento y la gestión del sistema de pequeñas plantas fotovoltaicas de tamaño Sinapsi. Según explicó el experto en la falla permite ver las contraseñas guardadas que pasan por el sistema de correo vinculado, por fortuna, la vulnerabilidad no es explotable de forma remota.
Dos de los vendedores ya han proporcionado una solución para los problemas por lo que el gobierno de Estados Unidos insta a los usuarios a actualizar sus sistemas tan pronto como sea posible.
El tercer fallo descubierto por Rupp en el Turbine RLE Nova-Viento. El experto advirtió que las contraseñas para acceder a la interfaz web se almacenan en un archivo de texto plano.
"Esto podría permitir a un usuario malicioso acceder al dispositivo y hacer cambios a la configuración sin autenticación", señaló ICS-CERT.
Por desgracia, el ICS-CERT intentó varias veces ponerse en contacto con el proveedor alemán RLE Internacional sin éxito.
"ICS-CERT ha intentado en varias ocasiones ponerse en contacto con el proveedor para esta grave falla y de acuerdo a nuestra política de divulgación de vulnerabilidades ahora tienen este documento informativo," la lectura de asesoramiento.
Según ha explicado varias veces y se informa en un interesante articulo publicado por Forbes sobre el tema, es muy fácil de localizar y hackear sistemas SCADA todo el mundo gracias a la disponibilidad de los motores de búsqueda Shodan.
"FORBES fue capaz de encontrar 31 sistemas relacionados con Sinapsi, 18 servidores XZERES 442SR y una turbina de viento-Nova. La mayor parte de las luces sinapsi estaban en uso en una universidad italiana, la Universita di Napoli Federico II, por lo que si cualquier hacker quería causar un apagón en la universidad estatal más antigua del mundo, tienen algunos buenos puntos de entrada potenciales. ", Afirma Forbes.
 |
| Ejemplo en Shodan de como se encontraba el acceso a sistema solar de la Universidad de Italia |
"Pero el uso de algunas de las vulnerabilidades de Rupp, sería posible para los hackers que se sienta en su escritorio a miles de millas de distancia para ir más allá, para irrumpir en los sistemas y cerrarlas. Esto no es sólo teórico. Como advierte la ICS-CERT, cualquier persona que pueda tomar las credenciales para las turbinas de viento-Nova, con sólo sentarse en el cable y husmear en el tráfico, puede "obtener acceso no autenticado al dispositivo. Esto significa que una persona maliciosa podría realizar cualquier acción en el dispositivo incluido el cambio o modificar configuraciones y ajustes. "" Afirma Forbes.
El internet de las cosas se hace cada vez mas real y algunas compañias que aun continuan con viejas o malas practicas de seguridad ya no solo se exponen a travesuras si no a riesgos potencialmente devastadores.
