Cybersecurity -onderzoekers hebben 46 nieuwe beveiligingsfouten in producten bekendgemaakt van drie leveranciers van zonnesters, Sungrow, Growatt en SMA, die door een slechte acteur kunnen worden benut om de controle over apparaten te grijpen of code op afstand uit te voeren, waardoor ernstige risico’s worden gevoerd voor elektrische grassen.
De kwetsbaarheden zijn gezamenlijk codenaam ZONSONDERGANG door Forescout Vedere Labs.
“De nieuwe kwetsbaarheden kunnen worden benut om willekeurige opdrachten op apparaten of de cloud van de verkoper uit te voeren, accounts over te nemen, voet aan de grond te krijgen in de infrastructuur van de verkoper of controle over de apparaten van de invertereigenaren,” zei het bedrijf in een rapport gedeeld met de Hacker News.
Enkele van de opmerkelijke gefouten worden hieronder vermeld –
- Aanvallers kunnen .aspx -bestanden uploaden die worden uitgevoerd door de webserver van SMA (SunnyPortal (.) Com), wat resulteert in externe code -uitvoering
- Niet -geverifieerde aanvallers kunnen gebruikersnaam opsomming uitvoeren via de blootgestelde “server.growatt.com/usercenter.do” eindpunt
- Niet-geauthenticeerde aanvallers kunnen de lijst verkrijgen van planten die bij andere gebruikers behoren, evenals willekeurige apparaten via de eindpunt “server-api.growatt.com/newtwoeicapi.do”, wat resulteert in apparaatovername
- Niet-geauthenticeerde aanvallers kunnen het serienummer van een slimme meter verkrijgen met behulp van een geldige gebruikersnaam via de eindpunt “server-api.growatt.com/newplantapi.do”, wat resulteert in accountovername
- Niet -geauthenticeerde aanvallers kunnen informatie verkrijgen over EV -opladers, energieverbruikinformatie en andere gevoelige gegevens via het eindpunt “EVLACH.GROWATT.COM/OCPP”, en op afstand EV -opladers configureren en informatie verkrijgen met betrekking tot firmware, wat resulteert in informatie -openbaarmaking en fysieke schade
- De Android -applicatie geassocieerd met SunGrow maakt gebruik van een onzekere AES -sleutel om clientgegevens te coderen, waardoor de deur wordt geopend naar een scenario waarbij een aanvaller communicatie tussen de mobiele app en isolarcloud kan onderscheppen en decodeeren
- De Android-applicatie geassocieerd met SunGrow negeert expliciet certificaatfouten en is kwetsbaar voor tegenstanders-in-the-middle (AITM) aanvallen
- Sungrow’s Winet WebUI bevat een hard gecodeerd wachtwoord dat kan worden gebruikt om alle firmware-updates te decoderen
- Meerdere kwetsbaarheden in SunGrow bij het verwerken van MQTT-berichten die kunnen resulteren in externe code-uitvoering of een DOSIAL-OF-Service (DOS) -voorwaarde
“Een aanvaller die controle kreeg over een grote vloot van Sungrow, Growatt en SMA -omvormers met behulp van de nieuw ontdekte kwetsbaarheden kan voldoende macht beheersen om instabiliteit te veroorzaken voor deze krachtroosters en andere belangrijke,” zei Forescout.
In een hypothetisch aanvalsscenario gericht op Growatt-omvormers, zou een dreigingsacteur de echte accountgebruikersnamen kunnen raden via een blootgestelde API, de accounts kapen door hun wachtwoorden te resetten op de standaard “123456”, en follow-on exploitatie uitvoeren.
Tot overmaat van ramp zou de gekaapte vloot van omvormers vervolgens kunnen worden gecontroleerd als een botnet om de aanval te versterken en schade aan het rooster toe te brengen, wat leidt tot verstoring van het rooster en potentiële black -outs. Alle leveranciers hebben sindsdien de geïdentificeerde problemen aangepakt na verantwoordelijke openbaarmaking.
“Aangezien aanvallers hele vloten van apparaten kunnen besturen met een impact op de energieproductie, kunnen ze hun instellingen wijzigen om op bepaalde tijden meer of minder energie naar het rooster te sturen,” zei Forescout, waarbij het nieuw ontdekte fouten risico wordt toegevoegd dat het raster blootstelt aan cyber-fysieke ransomware-aanvallen.
Daniel Dos Santos, hoofd van onderzoek bij Forescout Vedere Labs, zei dat het verzachten van de risico’s het handhaven van strikte beveiligingsvereisten vereist bij het verkrijgen van zonne -apparatuur, het uitvoeren van reguliere risicobeoordelingen en het waarborgen van volledige netwerkzichtbaarheid in deze apparaten.
De openbaarmaking komt omdat ernstige beveiligingsfouten zijn ontdekt in productielijncontrole camera’s gemaakt door het Japanse bedrijf Inaba Denki Sangyo die kunnen worden benut voor surveillance op extern en voorkomen dat productie -stoppages worden opgenomen.
De kwetsbaarheden blijven ongecontroleerd, maar de verkoper heeft klanten aangespoord om internettoegang te beperken en ervoor te zorgen dat dergelijke apparaten worden geïnstalleerd in een veilig, beperkt gebied dat alleen toegankelijk is voor geautoriseerd personeel.
“Deze gebreken maken verschillende aanvallen mogelijk, waardoor een niet -geauthenticeerde aanvaller op afstand en in het geheim toegang heeft tot live -beelden voor bewaking, of de opname van productielijnstoppages verstoren die het veroveren van kritieke momenten voorkomen,” zei Nozomi Networks.
In de afgelopen maanden heeft het beveiligingsbedrijf Operational Technology (OT) ook meerdere beveiligingsdefecten gedetailleerd in de GE Vernova N60 Network Relay, Zettler 130.8005 Industrial Gateway en WAGO 750-8216/025-001 Programmable Logic Controller (PLC) die door een aanvals van de apparaten kan worden bewapend.
