শত শত সৌর শক্তি মনিটরিং সিস্টেম সমালোচনামূলক রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতার জন্য ঝুঁকিপূর্ণ। এর পেছনে হ্যাকাররা মিরাই বোটনেট এমনকি অপেশাদাররাও ইতিমধ্যে সুবিধা নিতে শুরু করেছে, এবং অন্যরা অনুসরণ করবে, বিশেষজ্ঞরা ভবিষ্যদ্বাণী করছেন।
পালো অল্টো নেটওয়ার্কের ইউনিট 42 গবেষকরা আগে আবিষ্কার করেছিলেন যে মিরাই বটনেটের মাধ্যমে ছড়িয়ে পড়ছে জন্য CVE-2022-29303, SolarView সিরিজ সফ্টওয়্যার নির্মাতা Contec দ্বারা উন্নত একটি কমান্ড ইনজেকশন ত্রুটি. Contec-এর ওয়েবসাইট অনুসারে, SolarView 30,000 টিরও বেশি সৌর বিদ্যুৎ কেন্দ্রে ব্যবহার করা হয়েছে।
বুধবার, দুর্বলতা গোয়েন্দা সংস্থা VulnCheck উল্লেখ করেছে একটি ব্লগ পোস্টে যে CVE-2022-29303 এর মধ্যে একটি তিন সোলারভিউতে গুরুতর দুর্বলতা, এবং এটি কেবল মিরাই হ্যাকাররা তাদের লক্ষ্য করে।
ভলকান সাইবারের সিনিয়র কারিগরি প্রকৌশলী মাইক পারকিন ব্যাখ্যা করেন, "সবচেয়ে খারাপ পরিস্থিতি হল যে সরঞ্জামগুলির উপর নজর রাখা হচ্ছে তার মধ্যে দৃশ্যমানতা হারানো এবং কিছু ভেঙ্গে যাওয়া"। এটি তাত্ত্বিকভাবেও সম্ভব, যদিও, "আক্রমণকারী আপোসকৃত মনিটরিং সিস্টেমের নিয়ন্ত্রণকে আরও বেশি ক্ষতি করতে বা পরিবেশের গভীরে যেতে সক্ষম হতে পারে।"
সোলারভিউতে তিনটি ওজোন-আকারের গর্ত
CVE-2022-29303 SolarView ওয়েব সার্ভার, confi_mail.php-এর একটি নির্দিষ্ট প্রান্ত থেকে বহন করা হয়, যা ব্যবহারকারীর ইনপুট ডেটা পর্যাপ্তভাবে স্যানিটাইজ করতে ব্যর্থ হয়, যা দূরবর্তী ত্রুটিকে সক্ষম করে। যে মাসে এটি প্রকাশিত হয়েছিল, বাগটি থেকে কিছু মনোযোগ পেয়েছে নিরাপত্তা ব্লগার, গবেষকরা, এবং একজন ইউটিউবার যিনি শোষণ দেখিয়েছেন একটি এখনও সর্বজনীনভাবে অ্যাক্সেসযোগ্য ভিডিও প্রদর্শনী. কিন্তু সোলারভিউ এর মধ্যে এটি খুব কমই একমাত্র সমস্যা ছিল।
এক জিনিস জন্য, আছে জন্য CVE-2023-23333, একটি সম্পূর্ণ অনুরূপ কমান্ড ইনজেকশন দুর্বলতা. এটি একটি ভিন্ন এন্ডপয়েন্ট, downloader.php কে প্রভাবিত করে এবং ফেব্রুয়ারিতে প্রথম প্রকাশিত হয়েছিল। এবং আছে জন্য CVE-2022-44354, গত বছরের শেষের দিকে প্রকাশিত। CVE-2022-44354 হল একটি অনিয়ন্ত্রিত ফাইল আপলোড দুর্বলতা যা তৃতীয় প্রান্তিক পয়েন্টকে প্রভাবিত করে, আক্রমণকারীদের লক্ষ্যযুক্ত সিস্টেমে পিএইচপি ওয়েব শেল আপলোড করতে সক্ষম করে।
VulnCheck উল্লেখ করেছে যে confi_mail.php এর মতো এই দুটি শেষ পয়েন্ট "GreyNoise-এ দূষিত হোস্ট থেকে হিট তৈরি করতে দেখা যাচ্ছে যার অর্থ তারাও সম্ভবত কিছু স্তরের সক্রিয় শোষণের অধীনে রয়েছে।"
তিনটি দুর্বলতাকেই "গুরুত্বপূর্ণ" 9.8 (10টির মধ্যে) CVSS স্কোর নির্ধারণ করা হয়েছে।
সোলারভিউ বাগগুলি কত বড় সাইবার সমস্যা?
SolarView-এর শুধুমাত্র ইন্টারনেট-উন্মুক্ত দৃষ্টান্তগুলি দূরবর্তী সমঝোতার ঝুঁকিতে রয়েছে। VulnCheck-এর একটি দ্রুত শোডান অনুসন্ধান এই মাসে খোলা ওয়েবের সাথে সংযুক্ত 615 টি কেস প্রকাশ করেছে।
পারকিন বলে, এটিই যেখানে অপ্রয়োজনীয় মাথাব্যথা শুরু হয়। “এই জিনিসগুলির বেশিরভাগই পরিচালনা করার জন্য ডিজাইন করা হয়েছে মধ্যে একটি পরিবেশ এবং বেশিরভাগ ব্যবহারের ক্ষেত্রে খোলা ইন্টারনেট থেকে অ্যাক্সেসের প্রয়োজন হবে না,” তিনি বলেছেন। এমনকি যেখানে রিমোট কানেক্টিভিটি একেবারেই প্রয়োজনীয়, সেখানেও কাজ করতে পারে আইওটি সিস্টেম রক্ষা করুন বিস্তৃত ইন্টারনেটের ভীতিকর অংশ থেকে, তিনি যোগ করেন। "আপনি তাদের নিজস্ব ভার্চুয়াল লোকাল এরিয়া নেটওয়ার্কে (VLAN) তাদের নিজস্ব IP ঠিকানা স্থানগুলিতে রাখতে পারেন এবং কয়েকটি নির্দিষ্ট গেটওয়ে বা অ্যাপ্লিকেশন ইত্যাদিতে তাদের অ্যাক্সেস সীমাবদ্ধ করতে পারেন।"
অন্তত, তাদের সিস্টেম প্যাচ করা থাকলে অপারেটররা অনলাইনে থাকার ঝুঁকি নিতে পারে। উল্লেখযোগ্যভাবে, তবে, ইন্টারনেট-মুখী সোলারভিউ সিস্টেমগুলির মধ্যে 425টি - মোটের দুই তৃতীয়াংশেরও বেশি - সফ্টওয়্যারের সংস্করণগুলি চলমান ছিল প্রয়োজনীয় প্যাচের অভাব ছিল।
অন্তত যখন এটি সমালোচনামূলক সিস্টেম আসে, এটি বোধগম্য হতে পারে. “IoT এবং অপারেশনাল প্রযুক্তি ডিভাইসগুলি আপনার সাধারণ পিসি বা মোবাইল ডিভাইসের তুলনায় আপডেট করা অনেক বেশি চ্যালেঞ্জিং। এটি কখনও কখনও নিরাপত্তা প্যাচগুলি ইনস্টল করার জন্য তাদের সিস্টেমগুলিকে অফ-লাইনে দীর্ঘক্ষণ নেওয়ার পরিবর্তে ঝুঁকি গ্রহণ করার পছন্দ করে, "পারকিন বলেছেন।
তিনটি সিভিই সোলারভিউ সংস্করণ 8.00 এ প্যাচ করা হয়েছিল।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels
- : আছে
- : হয়
- :কোথায়
- 000
- 10
- 30
- 7
- 8
- 9
- a
- সক্ষম
- একেবারে
- সমর্থন দিন
- প্রবেশ
- প্রবেশযোগ্য
- অনুযায়ী
- সক্রিয়
- ঠিকানা
- যোগ করে
- সুবিধা
- প্রভাবিত
- সব
- ইতিমধ্যে
- এছাড়াও
- an
- এবং
- প্রদর্শিত
- অ্যাপ্লিকেশন
- রয়েছি
- এলাকায়
- AS
- নির্ধারিত
- At
- মনোযোগ
- BE
- হয়েছে
- পিছনে
- হচ্ছে
- বিশাল
- ব্লগ
- বটনেট
- বিরতি
- নম
- বাগ
- কিন্তু
- by
- CAN
- মামলা
- চ্যালেঞ্জিং
- পছন্দ
- কোড
- আসে
- তুলনা
- আপস
- সংকটাপন্ন
- সংযুক্ত
- কানেক্টিভিটি
- নিয়ন্ত্রণ
- সংকটপূর্ণ
- সাইবার
- উপাত্ত
- গভীর
- পরিকল্পিত
- উন্নত
- যন্ত্র
- ডিভাইস
- বিভিন্ন
- do
- নিচে
- সক্রিয়
- শেষ
- শেষপ্রান্ত
- প্রকৌশলী
- যথেষ্ট
- সম্পূর্ণরূপে
- পরিবেশ
- উপকরণ
- ইত্যাদি
- এমন কি
- ফাঁসি
- বিশেষজ্ঞদের
- ব্যাখ্যা
- কাজে লাগান
- শোষণ
- ব্যর্থ
- ফেব্রুয়ারি
- কয়েক
- ফাইল
- দৃঢ়
- প্রথম
- ত্রুটি
- অনুসরণ করা
- থেকে
- উত্পাদন করা
- পাওয়া
- বৃহত্তর
- হ্যাকার
- আছে
- জমিদারি
- he
- হিট
- গর্ত
- হোস্ট
- যাহোক
- HTTPS দ্বারা
- if
- in
- শিল্প
- ইনপুট
- ভিতরে
- ইনস্টল
- বুদ্ধিমত্তা
- Internet
- মধ্যে
- IOT
- IP
- আইপি ঠিকানা
- IT
- JPG
- মাত্র
- গত
- গত বছর
- অন্তত
- উচ্চতা
- লেভারেজ
- মত
- সম্ভবত
- স্থানীয়
- দীর্ঘ
- হারানো
- অনেক
- মেকিং
- ব্যবস্থাপনা
- উত্পাদক
- মে..
- অর্থ
- হতে পারে
- মাইক
- মোবাইল
- মোবাইল ডিভাইস
- পর্যবেক্ষণ করা
- পর্যবেক্ষণ
- মাস
- অধিক
- সেতু
- কাছাকাছি
- প্রয়োজনীয়
- প্রয়োজন
- নেটওয়ার্ক
- nst
- সুপরিচিত
- of
- বন্ধ
- প্রায়ই
- on
- ONE
- অনলাইন
- কেবল
- খোলা
- কর্মক্ষম
- or
- অন্যরা
- বাইরে
- নিজের
- প্যানেল
- বিশেষ
- যন্ত্রাংশ
- তালি
- প্যাচ
- PC
- পিএইচপি
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- সম্ভব
- ক্ষমতা
- পূর্বাভাসের
- পূর্বে
- সমস্যা
- প্রকাশ্যে
- প্রকাশিত
- করা
- দ্রুত
- বরং
- গৃহীত
- মুক্ত
- অবশিষ্ট
- দূরবর্তী
- গবেষকরা
- সীমাবদ্ধ করা
- প্রকাশিত
- ঝুঁকি
- দৌড়
- s
- বলেছেন
- দৃশ্যকল্প
- সার্চ
- নিরাপত্তা
- জ্যেষ্ঠ
- ক্রম
- দেখিয়েছেন
- অনুরূপ
- সফটওয়্যার
- সৌর
- সৌর প্যানেল
- সৌর শক্তি
- কিছু
- কিছু
- শূণ্যস্থান
- নির্দিষ্ট
- পাতন
- শুরু
- শুরু
- স্টেশন
- এখনো
- পদ্ধতি
- সিস্টেম
- গ্রহণ করা
- গ্রহণ
- লক্ষ্যবস্তু
- লক্ষ্য করে
- কারিগরী
- প্রযুক্তিঃ
- চেয়ে
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- সেখানে।
- এইগুলো
- তারা
- জিনিস
- কিছু
- তৃতীয়
- এই
- সেগুলো
- যদিও?
- শাসান
- তিন
- থেকে
- অত্যধিক
- মোট
- ত্রয়ী
- দুই
- টিপিক্যাল
- অধীনে
- বোধগম্য
- একক
- আপডেট
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- সংস্করণ
- ভিডিও
- ভার্চুয়াল
- দৃষ্টিপাত
- কর্মকার
- দুর্বলতা
- দুর্বলতা
- জেয়
- ছিল
- ওয়েব
- ওয়েব সার্ভার
- ওয়েবসাইট
- বুধবার
- ছিল
- কখন
- যে
- হু
- ব্যাপকতর
- ইচ্ছা
- বছর
- এখনো
- আপনি
- আপনার
- ইউটিউব
- YouTube ব্যবহারকারী
- zephyrnet