Los investigadores de ciberseguridad han revelado 46 nuevos fallas de seguridad en productos de tres proveedores de inversores solares, Sungrow, Growatt y SMA, que un actor malo podría explotar para tomar el control de dispositivos o ejecutar código de forma remota, lo que plantea riesgos severos para las redes eléctricas.
Las vulnerabilidades han sido colectivamente nombradas en código PUESTA DEL SOL por forescout Vedere Labs.
“Las nuevas vulnerabilidades se pueden explotar para ejecutar comandos arbitrarios en dispositivos o la nubarrón del proveedor, hacerse cargo de las cuentas, obtener un punto de apoyo en la infraestructura del proveedor o tomar el control de los dispositivos de los propietarios de los inversores”, dijo la compañía en un crónica compartido con las noticiero del hacker.
Algunos de los defectos notables identificados se enumeran a continuación –
- Los atacantes pueden cargar archivos .aspx que serán ejecutados por el servidor web de SMA (sunnyportal (.) Com), lo que resulta en la ejecución de código remoto
- Los atacantes no autenticados pueden realizar la enumeración del nombre de usufructuario a través del punto final “Servidor.growatt.com/usercenter.do” expuesto “
- Los atacantes no autenticados pueden obtener la índice de plantas que pertenecen a otros usuarios, así como a dispositivos arbitrarios a través del punto final “server-api.growatt.com/newtwoeicapi.do”, lo que resulta en la adquisición de dispositivos
- Los atacantes no autenticados pueden obtener el número de serie de un comprobador inteligente utilizando un nombre de usufructuario válido a través del punto final “server-api.growatt.com/newplantapi.do”, lo que resulta en la adquisición de la cuenta
- Los atacantes no autenticados pueden obtener información sobre los cargadores EV, la información de consumo de energía y otros datos confidenciales a través del punto final “evcharge.growatt.com/ocpp”, así como configurar de forma remota cargadores EV y obtener información relacionada con el firmware, lo que resulta en divulgación de información y daños físicos
- La aplicación de Android asociada con SunGrow utiliza una esencia AES insegura para acelerar los datos del cliente, abriendo la puerta a un ambiente en el que un atacante puede interceptar y descifrar las comunicaciones entre la aplicación móvil y IsolarCloud
- La aplicación de Android asociada con SunGrow ignora explícitamente los errores de certificado y es frágil a los ataques adversarios en el medio (AITM)
- Winet Webui de Sungrow contiene una contraseña codificada que se puede usar para descifrar todas las actualizaciones de firmware
- Vulnerabilidades múltiples en SunGrow al manejar mensajes MQTT que podrían dar como resultado una ejecución de código remoto o una condición de denegación de servicio (DOS)
“Un atacante que obtuvo el control de una gran flota de inversores de SunGrow, Growatt e SMA que usan las vulnerabilidades recién descubiertas podrían controlar suficiente poder para causar inestabilidad a estas redes eléctricas y otras principales”, dijo Foresout.
En un ambiente de ataque hipotético dirigido a los inversores de Growatt, un actor de amenaza podría adivinar los nombres de usufructuario de la cuenta efectivo a través de una API expuesta, secuestrar las cuentas al restablecer sus contraseñas al “123456” predeterminado, y realizar la explotación de seguimiento.
Para empeorar las cosas, la flota secuestrada de inversores podría controlarse como una botnet para amplificar el ataque e infligir daño en la red, lo que lleva a la interrupción de la red y posibles apagones. Desde entonces, todos los proveedores han abordado los problemas identificados luego de la divulgación responsable.
“Como los atacantes pueden controlar flotas enteras de dispositivos con un impacto en la producción de energía, pueden alterar su configuración para expedir más o menos energía a la red en ciertos momentos”, dijo Foresout, y agregó que los defectos recién descubiertos corren el aventura de exponer la cuadrícula a los ataques de ransomware ciberfísicos.
Daniel Dos Santos, superior de investigación de Forescout Vedere Labs, dijo que mitigar los riesgos requiere hacer cumplir los requisitos de seguridad estrictos al agenciarse equipos solares, realizar evaluaciones de riesgos regulares y respaldar la visibilidad completa de la red en estos dispositivos.
La divulgación se produce cuando se han descubierto graves defectos de seguridad en las cámaras de monitoreo de la cuerda de producción hechas por la compañía japonesa Inaba Denki Sangyo que podrían explotarse para la vigilancia remota y evitar la disco de paros de producción.
Las vulnerabilidades siguen sin parches, pero el proveedor ha instado a los clientes a restringir el comunicación a Internet y al techo para respaldar que dichos dispositivos se instalen en un radio segura y restringida a la que se puede aceptar solo al personal calificado.
“Estos defectos permiten varios ataques, permitiendo que un atacante no autenticado acceda a metraje en vivo de forma remota y secreta para la vigilancia, o interrumpir la disco de paros de la cuerda de producción que impide la captura de momentos críticos”, dijo Nozomi Networks.
En los últimos meses, la compañía de seguridad de tecnología operativa (OT) además ha detallado múltiples defectos de seguridad en el relé de la red GE Vernova N60, la puerta de enlace industrial Zettler 130.8005 y el WAGO 750-8216/025-001 Programable Logic Controller (PLC) que podría ser armado por un atacante para tomar el control total de los dispositivos.
