المئات من أنظمة مراقبة الطاقة الشمسية معرضة لثلاث نقاط ضعف في تنفيذ التعليمات البرمجية عن بُعد (RCE). المتسللين وراء ميراي بوتنت وحتى الهواة بدأوا بالفعل في الاستفادة ، وسيتبعهم الآخرون ، كما يتوقع الخبراء.
اكتشف 42 باحثًا في وحدة بالو ألتو نتووركس سابقًا التي تنتشر من خلالها الروبوتات Mirai CVE-2022-29303، وهو خطأ في حقن الأوامر في برنامج SolarView Series الذي طورته الشركة المصنعة Contec. وفقًا لموقع Contec على الويب ، تم استخدام SolarView في أكثر من 30,000 محطة للطاقة الشمسية.
يوم الأربعاء ، أشارت شركة استخبارات الثغرات الأمنية VulnCheck في بلوق وظيفة أن CVE-2022-29303 هي واحدة من ثلاثة نقاط الضعف الحرجة في SolarView ، وهي أكثر من مجرد قراصنة ميراي يستهدفونها.
يوضح مايك باركين ، كبير المهندسين التقنيين في شركة فولكان سايبر: "السيناريو الأكثر احتمالًا هو فقدان الرؤية في المعدات التي تتم مراقبتها وتعطل شيء ما". من الممكن أيضًا من الناحية النظرية ، على الرغم من ذلك ، أن "المهاجم قادر على الاستفادة من التحكم في نظام المراقبة المخترق لإحداث ضرر أكبر أو التعمق في البيئة."
ثلاثة ثقوب بحجم الأوزون في SolarView
يتم تحمل CVE-2022-29303 من نقطة نهاية معينة في خادم الويب SolarView ، confi_mail.php ، والتي تفشل في تعقيم بيانات إدخال المستخدم بشكل كافٍ ، مما يتيح ارتكاب المخالفات عن بُعد. في الشهر الذي تم إصداره فيه ، تلقى الخطأ بعض الاهتمام من المدونون الأمنيون, الباحثين، وواحد من مستخدمي YouTube أظهر الثغرة في عرض فيديو لا يزال متاحًا للجمهور. لكنها بالكاد كانت المشكلة الوحيدة داخل SolarView.
لسبب واحد ، هناك CVE-2023-23333، ثغرة أمنية مشابهة تمامًا لحقن الأوامر. يؤثر هذا على نقطة نهاية مختلفة ، downloader.php ، وتم الكشف عنه لأول مرة في فبراير. و هناك CVE-2022-44354، تم نشره قرب نهاية العام الماضي. CVE-2022-44354 عبارة عن ثغرة أمنية غير مقيدة في تحميل الملفات تؤثر على نقطة نهاية ثالثة حتى الآن ، مما يمكّن المهاجمين من تحميل قذائف PHP على الويب إلى الأنظمة المستهدفة.
أشار VulnCheck إلى أن نقطتي النهاية هاتين ، مثل confi_mail.php ، "يبدو أنهما تولدان نتائج من مضيفين ضارين على GreyNoise مما يعني أنهم من المحتمل أيضًا أن يكونوا تحت مستوى معين من الاستغلال النشط".
تم تعيين جميع نقاط الضعف الثلاثة "الحرجة" 9.8 (من أصل 10) درجات CVSS.
ما حجم مشكلة الفضاء السيبراني هي أخطاء SolarView؟
فقط مثيلات SolarView المعرضة للإنترنت معرضة لخطر الاختراق عن بُعد. كشف بحث سريع لـ Shodan بواسطة VulnCheck عن 615 حالة متصلة بالويب المفتوح اعتبارًا من هذا الشهر.
هذا ، كما يقول باركين ، هو المكان الذي يبدأ فيه الصداع غير الضروري. "معظم هذه الأشياء مصممة للعمل في غضون بيئة ويجب ألا تحتاج إلى الوصول من الإنترنت المفتوح في معظم حالات الاستخدام ". حتى عندما يكون الاتصال عن بُعد ضروريًا للغاية ، فهناك حلول بديلة لذلك حماية أنظمة إنترنت الأشياء من الأجزاء المخيفة للإنترنت الأوسع ، يضيف. "يمكنك وضعها جميعًا على شبكات المنطقة المحلية الافتراضية الخاصة بها (VLANs) في مساحات عناوين IP الخاصة بها ، وتقييد الوصول إليها على عدد قليل من البوابات أو التطبيقات المحددة ، وما إلى ذلك."
قد يخاطر المشغلون بالبقاء على الإنترنت إذا تم تصحيح أنظمتهم على الأقل. ومع ذلك ، من اللافت للنظر أن 425 من أنظمة SolarView التي تواجه الإنترنت - أكثر من ثلثي المجموع - كانت تستخدم إصدارات من البرنامج تفتقر إلى التصحيح الضروري.
على الأقل عندما يتعلق الأمر بالأنظمة الحرجة ، قد يكون هذا مفهوماً. غالبًا ما تكون أجهزة إنترنت الأشياء والتكنولوجيا التشغيلية أكثر صعوبة في التحديث مقارنة بجهاز الكمبيوتر العادي أو الجهاز المحمول. في بعض الأحيان يكون لدى الإدارة خيار قبول المخاطر ، بدلاً من فصل أنظمتها عن الاتصال بالإنترنت لفترة كافية لتثبيت تصحيحات الأمان "، كما يقول باركين.
تم تصحيح جميع CVEs الثلاثة في الإصدار 8.00 من SolarView.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels
- :لديها
- :يكون
- :أين
- 000
- 10
- 30
- 7
- 8
- 9
- a
- ماهرون
- إطلاقا
- استمر
- الوصول
- يمكن الوصول
- وفقا
- نشط
- العنوان
- يضيف
- مميزات
- تؤثر
- الكل
- سابقا
- أيضا
- an
- و
- تظهر
- التطبيقات
- هي
- المنطقة
- AS
- تعيين
- At
- اهتمام
- BE
- كان
- وراء
- يجري
- كبير
- المدونة
- الروبوتات
- استراحة
- علة
- البق
- لكن
- by
- CAN
- الحالات
- تحدي
- خيار
- الكود
- يأتي
- مقارنة
- حل وسط
- تسوية
- متصل
- الإتصال
- مراقبة
- حرج
- الانترنت
- البيانات
- أعمق
- تصميم
- المتقدمة
- جهاز
- الأجهزة
- مختلف
- do
- إلى أسفل
- تمكين
- النهاية
- نقطة النهاية
- مهندس
- كاف
- تماما
- البيئة
- معدات
- إلخ
- حتى
- خبرائنا
- ويوضح
- استغلال
- استغلال
- فشل
- فبراير
- قليل
- قم بتقديم
- شركة
- الاسم الأول
- عيب
- اتباع
- تبدأ من
- توليد
- دولار فقط واحصل على خصم XNUMX% على جميع
- أكبر
- قراصنة
- يملك
- وجود
- he
- المشاهدات
- ثقوب
- المضيفين
- لكن
- HTTPS
- if
- in
- صناعي
- إدخال
- في الداخل
- تثبيت
- رؤيتنا
- Internet
- إلى
- قام المحفل
- IP
- عنوان IP
- IT
- JPG
- م
- اسم العائلة
- العام الماضي
- الأقل
- مستوى
- الرافعة المالية
- مثل
- على الأرجح
- محلي
- طويل
- فقدان
- الكثير
- القيام ب
- إدارة
- الشركة المصنعة
- مايو..
- معنى
- ربما
- مايك
- الجوال
- الجهاز المحمول
- مراقبة
- مراقبة
- شهر
- الأكثر من ذلك
- أكثر
- قرب
- ضروري
- حاجة
- الشبكات
- نيست
- وأشار
- of
- خصم
- غالبا
- on
- ONE
- online
- فقط
- جاكيت
- تشغيل
- or
- أخرى
- خارج
- الخاصة
- لوحات
- خاص
- أجزاء
- بقعة
- بقع
- PC
- PHP
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ممكن
- قوة
- توقع
- سابقا
- المشكلة
- علانية
- نشرت
- وضع
- سريع
- بدلا
- تلقى
- صدر
- المتبقية
- عن بعد
- الباحثين
- بتقييد
- أظهرت
- المخاطرة
- تشغيل
- s
- يقول
- سيناريو
- بحث
- أمن
- كبير
- مسلسلات
- أظهرت
- مماثل
- تطبيقات الكمبيوتر
- شمسي
- الألواح الشمسية
- الطاقة الشمسية
- بعض
- شيء
- المساحات
- محدد
- الانتشار
- بدأت
- يبدأ
- محطات
- لا يزال
- نظام
- أنظمة
- أخذ
- مع الأخذ
- المستهدفة
- استهداف
- تقني
- تكنولوجيا
- من
- أن
- •
- من مشاركة
- منهم
- هناك.
- تشبه
- هم
- شيء
- الأشياء
- الثالث
- هؤلاء
- على الرغم من؟
- هدد
- ثلاثة
- إلى
- جدا
- الإجمالي
- ثلاثي
- اثنان
- نموذجي
- مع
- مفهوم
- وحدة
- تحديث
- تستخدم
- مستعمل
- مستخدم
- الإصدار
- فيديو
- افتراضي
- رؤية
- فولكان
- نقاط الضعف
- الضعف
- الضعيفة
- وكان
- الويب
- خادم الويب
- الموقع الإلكتروني
- الأربعاء
- كان
- متى
- التي
- من الذى
- على نطاق أوسع
- سوف
- عام
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- موقع YouTube
- اليوتيوب
- زفيرنت