Изследователи в областта на сигурността предупреждават, че десетки хиляди фотоволтаични системи за наблюдение и диагностика са достъпни чрез публичната мрежа, което ги прави потенциални мишени за хакери.
Тези системи се използват за дистанционно наблюдение на производителността, отстраняване на неизправности, оптимизиране на системата и други функции, позволяващи дистанционно управление на устройствата за производство на енергия от възобновяеми източници.
Изложена чувствителна информация
Анализаторите на заплахите на Cyble сканираха мрежата за изложени в интернет PV комунални услуги и откриха 134 634 продукта от различни доставчици, сред които Solar-Log, Danfoss Solar Web Server, SolarView Contec, SMA Sunny Webbox, SMA Cluster Controller, SMA Power Reducer Box, Kaco New Energy & Web, Fronis Datamanager, Saj Solar Inverter и ABB Solar Inverter Web GUI.
Важно е да се отбележи, че не е задължително изложените на риск активи да са уязвими или неправилно конфигурирани по начин, който позволява на нападателите да взаимодействат с тях.
Въпреки това изследването на Cyble показва, че неавтентифицирани посетители могат да получат информация, включително настройки, които могат да бъдат използвани за организиране на атака.
В доклада също така се подчертава, че за горепосочените продукти са открити и докладвани уязвимости и че за няколко от тях е наличен код за експлоатация, което увеличава вероятността от атаки срещу системи с по-стара версия на фърмуера.
Дори когато системите за управление на фотоволтаици са адекватно защитени, Cyble посочва риска от зловреден софтуер за кражба на информация, който може да събира данни за вход за тези инструменти.
Активна експлоатация
Експлоатирането на уязвимостите във фотоволтаичните системи, които Cyble открива изложени онлайн, се случва напоследък, като хакери сканират мрежата за уязвими устройства, за да ги добавят към ботнети.
Например CVE-2022-29303, неавтентифицирана уязвимост за инжектиране на отдалечени команди, засягаща системата SolarView на Contec, беше използвана от сравнително нов вариант на Mirai, който търсеше свежи системи, за да увеличи мощта си за разпределен отказ от услуга (DDoS).
При сканирането на Cyble са открити 7309 устройства SolarView, изложени на риск в интернет в световен мащаб, а в друг доклад на VulnCheck от днес са открити 425 случая на SolarView на Contec, които използват уязвима версия на фърмуера.
Докладът на VulnCheck обръща внимание и на друг наскоро открит неавтентифициран бъг в изпълнението на отдалечен код, засягащ същия продукт, проследен като CVE-2023-23333, за който съществуват множество експлойти в публичното пространство.
Системите от този тип често са пренебрегвани по отношение на поддръжката и актуализациите, което дава на нападателите добри шансове за успех, когато използват сравнително скорошни уязвимости.
Ако администраторите на фотоволтаични системи трябва да разкрият интерфейсите за отдалечено управление, те трябва поне да използват силни, уникални идентификационни данни, да активират използването на многофакторна автентикация, когато има такава, и да поддържат системите си актуализирани. Отделянето на оборудването в собствена мрежа също се счита за добра защита.
