3 kritische RCE-Fehler bedrohen industrielle Solarmodule

Hunderte von Solarenergie-Überwachungssystemen sind anfällig für drei kritische RCE-Schwachstellen (Remote Code Execution). Die Hacker hinter dem Mirai-Botnetz Und selbst Amateure haben bereits damit begonnen, davon zu profitieren, und andere werden folgen, prognostizieren Experten.

Forscher der Unit 42 von Palo Alto Networks haben dies bereits zuvor entdeckt dass sich das Mirai-Botnetz verbreitet CVE-2022-29303, ein Befehlsinjektionsfehler in der Software der SolarView-Serie, der vom Hersteller Contec entwickelt wurde. Laut der Website von Contec wurde SolarView in mehr als 30,000 Solarkraftwerken eingesetzt.

Am Mittwoch wies das Schwachstellen-Intelligence-Unternehmen VulnCheck darauf hin in einem Blog-Post dass CVE-2022-29303 einer davon ist nach drei kritische Schwachstellen in SolarView, und es sind mehr als nur die Mirai-Hacker, die es auf sie abgesehen haben.

„Das wahrscheinlichste Worst-Case-Szenario besteht darin, dass die Sicht auf die überwachte Ausrüstung verloren geht und etwas ausfällt“, erklärt Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber. Theoretisch sei es aber auch möglich, dass „der Angreifer die Kontrolle über das kompromittierte Überwachungssystem ausnutzen kann, um größeren Schaden anzurichten oder tiefer in die Umgebung einzudringen.“

Drei ozongroße Löcher in SolarView

CVE-2022-29303 stammt von einem bestimmten Endpunkt im SolarView-Webserver,confi_mail.php, der Benutzereingabedaten nicht ausreichend bereinigt, was den Remote-Verstoß ermöglicht. Im Monat seiner Veröffentlichung erregte der Fehler einige Aufmerksamkeit Sicherheitsblogger, Forscher, und ein YouTuber, der den Exploit in vorführte eine noch öffentlich zugängliche Videodemonstration. Aber es war nicht das einzige Problem innerhalb von SolarView.

Zum einen gibt es CVE-2023-23333, eine völlig ähnliche Sicherheitslücke durch Befehlsinjektion. Dies betrifft einen anderen Endpunkt, downloader.php, und wurde erstmals im Februar bekannt gegeben. Und da ist CVE-2022-44354, veröffentlicht gegen Ende letzten Jahres. CVE-2022-44354 ist eine Sicherheitslücke beim uneingeschränkten Datei-Upload, die einen weiteren Endpunkt betrifft und es Angreifern ermöglicht, PHP-Web-Shells auf Zielsysteme hochzuladen.

VulnCheck stellte fest, dass diese beiden Endpunkte, wieconfi_mail.php, „offenbar Treffer von bösartigen Hosts auf GreyNoise generieren, was bedeutet, dass auch sie wahrscheinlich in gewissem Maße aktiv ausgenutzt werden.“

Alle drei Schwachstellen wurden mit CVSS-Bewertungen von 9.8 (von 10) als „kritisch“ eingestuft.

Wie groß sind die SolarView-Bugs für ein Cyber-Problem?

Nur über das Internet verfügbare Instanzen von SolarView sind dem Risiko einer Remotekompromittierung ausgesetzt. Eine schnelle Shodan-Suche von VulnCheck ergab für diesen Monat 615 Fälle im Zusammenhang mit dem offenen Web.

Hier, sagt Parkin, beginnen die unnötigen Kopfschmerzen. „Die meisten dieser Dinge sind für den Betrieb konzipiert . „Es ist eine Umgebung, die in den meisten Anwendungsfällen keinen Zugriff über das offene Internet benötigen sollte“, sagt er. Selbst wenn eine Remote-Konnektivität unbedingt erforderlich ist, gibt es Workarounds, die dies ermöglichen IoT-Systeme schützen aus den gruseligen Teilen des breiteren Internets, fügt er hinzu. „Sie können sie alle in ihren eigenen virtuellen lokalen Netzwerken (VLANs) in ihren eigenen IP-Adressräumen platzieren und den Zugriff auf sie auf einige bestimmte Gateways oder Anwendungen usw. beschränken.“

Betreiber riskieren möglicherweise, online zu bleiben, wenn ihre Systeme zumindest gepatcht werden. Bemerkenswerterweise liefen jedoch auf 425 dieser mit dem Internet verbundenen SolarView-Systeme – mehr als zwei Drittel aller Systeme – Versionen der Software, denen der erforderliche Patch fehlte.

Zumindest wenn es um kritische Systeme geht, mag das verständlich sein. „IoT- und Betriebstechnologiegeräte sind im Vergleich zu einem typischen PC oder Mobilgerät oft viel schwieriger zu aktualisieren. Manchmal trifft das Management die Entscheidung, das Risiko einzugehen, anstatt seine Systeme lange genug offline zu nehmen, um Sicherheitspatches zu installieren“, sagt Parkin.

Alle drei CVEs wurden in SolarView Version 8.00 gepatcht.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels