Cybersecurityonderzoekers hebben een aantal beveiligingstekortkomingen geïdentificeerd in beheerplatforms voor fotovoltaïsche systemen van de Chinese bedrijven Solarman en Deye. Deze tekortkomingen zouden kwaadwillenden in staat kunnen stellen om verstoringen en stroomuitval te veroorzaken.
“Als deze kwetsbaarheden worden uitgebuit, kan een aanvaller de instellingen van omvormers aanpassen, waardoor delen van het elektriciteitsnet plat kunnen liggen en er mogelijk stroomuitval kan ontstaan”, aldus onderzoekers van Bitdefender in een vorige week gepubliceerde analyse.
De kwetsbaarheden zijn door Solarman en Deye aangepakt in juli 2024, na een verantwoorde openbaarmaking op 22 mei 2024.
De Roemeense leverancier van cyberbeveiliging, die de twee PV-monitoring- en beheerplatforms analyseerde, gaf aan dat deze kampen met een aantal problemen die onder andere kunnen leiden tot overname van accounts en openbaarmaking van informatie.
Hieronder vindt u een korte beschrijving van de problemen:
- Volledige accountovername via manipulatie van autorisatietokens met behulp van het API-eindpunt /oauth2-s/oauth/token
- Hergebruik van Deye Cloud Token
- Informatie lek via /group-s/acc/orgs API-eindpunt
- Hard-gecodeerd account met onbeperkte apparaattoegang (account: “[email protected]” / wachtwoord: 123456)
- Informatie lek via /user-s/acc/orgs API-eindpunt
- Mogelijke generatie van ongeautoriseerde autorisatietokens
Als de hierboven genoemde kwetsbaarheden succesvol worden uitgebuit, kunnen aanvallers controle krijgen over elk Solarman-account, JSON Web Tokens (JWT’s) van Deye Cloud hergebruiken om ongeautoriseerde toegang te krijgen tot Solarman-accounts en privé-informatie verzamelen over alle geregistreerde organisaties.
Ze konden ook informatie over elk Deye-apparaat verkrijgen, toegang krijgen tot vertrouwelijke geregistreerde gebruikersgegevens en zelfs authenticatietokens genereren voor elke gebruiker op het platform, waardoor de vertrouwelijkheid en integriteit ervan ernstig in gevaar kwamen.
“Aanvallers kunnen accounts overnemen en controle krijgen over omvormers voor zonnepanelen, waardoor de stroomopwekking wordt verstoord en er spanningsschommelingen kunnen ontstaan”, aldus de onderzoekers.
“Gevoelige informatie over gebruikers en organisaties kan worden gelekt, wat kan leiden tot privacyschendingen, informatieverzameling, gerichte phishingaanvallen of andere kwaadaardige activiteiten. Door toegang te krijgen tot en instellingen te wijzigen op zonne-omvormers, kunnen aanvallers wijdverbreide verstoringen in de stroomdistributie veroorzaken, wat de stabiliteit van het net kan beïnvloeden en mogelijk kan leiden tot black-outs.”
