3 kritiske RCE-fejl truer industrielle solpaneler

Hundredvis af solenergiovervågningssystemer er sårbare over for en trio af kritiske sårbarheder ved fjernudførelse af kode (RCE). Hackerne bag Mirai botnet og selv amatører er allerede begyndt at drage fordel, og andre vil følge efter, forudser eksperter.

Palo Alto Networks' Unit 42-forskere har tidligere opdaget at Mirai-botnettet breder sig igennem CVE-2022-29303, en kommandoindsprøjtningsfejl i SolarView-seriens software udviklet af producenten Contec. Ifølge Contecs hjemmeside er SolarView blevet brugt i mere end 30,000 solcelleanlæg.

Onsdag påpegede sårbarhedsefterretningsfirmaet VulnCheck i et blogindlæg som CVE-2022-29303 er en af tre kritiske sårbarheder i SolarView, og det er mere end blot Mirai-hackerne, der retter sig mod dem.

"Det mest sandsynlige worst-case scenarie er at miste synlighed i det udstyr, der overvåges, og at noget går i stykker," forklarer Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber. Det er dog også teoretisk muligt, at "angriberen er i stand til at udnytte kontrollen over det kompromitterede overvågningssystem til at gøre større skade eller komme dybere ind i miljøet."

Tre huller i ozonstørrelse i SolarView

CVE-2022-29303 bæres fra et bestemt slutpunkt i SolarView-webserveren, confi_mail.php, som ikke klarer tilstrækkeligt at rense brugerinputdata, hvilket muliggør fjernfejl. I den måned, den blev udgivet, fik fejlen en vis opmærksomhed fra sikkerhedsbloggere, forskere, og en YouTuber, der viste udnyttelsen i en stadig offentligt tilgængelig videodemonstration. Men det var næppe det eneste problem inde i SolarView.

For én ting er der CVE-2023-23333, en fuldstændig lignende kommandoindsprøjtningssårbarhed. Denne påvirker et andet slutpunkt, downloader.php, og blev først afsløret i februar. Og der er CVE-2022-44354, udgivet i slutningen af ​​sidste år. CVE-2022-44354 er en ubegrænset filuploadsårbarhed, der påvirker endnu et tredje slutpunkt, hvilket gør det muligt for angribere at uploade PHP-webskaller til målrettede systemer.

VulnCheck bemærkede, at disse to endepunkter, som confi_mail.php, "synes at generere hits fra ondsindede værter på GreyNoise, hvilket betyder, at de også sandsynligvis er under et vist niveau af aktiv udnyttelse."

Alle tre sårbarheder blev tildelt "kritiske" 9.8 (ud af 10) CVSS-score.

Hvor stort et cyberproblem er SolarView-fejlene?

Kun interneteksponerede forekomster af SolarView er i risiko for fjernkompromittering. En hurtig Shodan-søgning af VulnCheck afslørede 615 sager forbundet til det åbne web fra denne måned.

Det er her, siger Parkin, den unødvendige hovedpine starter. "De fleste af disse ting er designet til at blive betjent inden for et miljø og burde ikke have behov for adgang fra det åbne internet i de fleste tilfælde,” siger han. Selv hvor fjernforbindelse er absolut nødvendig, er der løsninger, der kan beskytte IoT-systemer fra de skræmmende dele af det bredere internet, tilføjer han. "Du kan placere dem alle på deres egne virtuelle lokale netværk (VLAN'er) i deres egne IP-adresserum og begrænse adgangen til dem til nogle få specifikke gateways eller applikationer osv.."

Operatører kan risikere at forblive online, hvis i det mindste deres systemer er lappet. Bemærkelsesværdigt var det dog, at 425 af disse internetvendte SolarView-systemer - mere end to tredjedele af det samlede antal - kørte versioner af softwaren, der manglede den nødvendige patch.

I det mindste når det kommer til kritiske systemer, kan dette være forståeligt. "IoT og operationelle teknologienheder er ofte meget mere udfordrende at opdatere sammenlignet med din typiske pc eller mobilenhed. Det får nogle gange ledelsen til at vælge at acceptere risikoen i stedet for at tage deres systemer off-line længe nok til at installere sikkerhedsrettelser,” siger Parkin.

Alle tre CVE'er blev patchet i SolarView version 8.00.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels