3 errores críticos de RCE amenazan los paneles solares industriales

Cientos de sistemas de monitoreo de energía solar son vulnerables a un trío de vulnerabilidades críticas de ejecución remota de código (RCE). Los piratas informáticos detrás de la Mirai botnet e incluso los aficionados ya han comenzado a aprovechar, y otros seguirán, predicen los expertos.

Los investigadores de la Unidad 42 de Palo Alto Networks descubrieron previamente que la red de bots Mirai se está propagando CVE-2022-29303, una falla de inyección de comandos en el software SolarView Series desarrollado por el fabricante Contec. Según el sitio web de Contec, SolarView se ha utilizado en más de 30,000 estaciones de energía solar.

El miércoles, la firma de inteligencia de vulnerabilidad VulnCheck señaló en un blog que CVE-2022-29303 es uno de Tres vulnerabilidades críticas en SolarView, y son más que solo los piratas informáticos de Mirai los que los atacan.

“El peor de los casos más probables es perder la visibilidad del equipo que se está monitoreando y que algo se descomponga”, explica Mike Parkin, ingeniero técnico sénior de Vulcan Cyber. Sin embargo, también es teóricamente posible que "el atacante pueda aprovechar el control del sistema de monitoreo comprometido para causar un daño mayor o profundizar en el medio ambiente".

Tres agujeros del tamaño de una capa de ozono en SolarView

CVE-2022-29303 proviene de un punto final particular en el servidor web SolarView, confi_mail.php, que no desinfecta suficientemente los datos de entrada del usuario, lo que permite la malversación remota. En el mes en que se lanzó, el error recibió algo de atención por parte de blogueros de seguridad, investigadores, y un YouTuber que mostró el exploit en una demostración de video todavía accesible al público. Pero no fue el único problema dentro de SolarView.

Por un lado, hay CVE-2023-23333, una vulnerabilidad de inyección de comandos completamente similar. Este afecta a un punto final diferente, downloader.php, y se reveló por primera vez en febrero. Y ahí está CVE-2022-44354, publicado a finales del año pasado. CVE-2022-44354 es una vulnerabilidad de carga de archivos sin restricciones que afecta a un tercer punto final, lo que permite a los atacantes cargar PHP Web shells en los sistemas objetivo.

VulnCheck señaló que estos dos puntos finales, como confi_mail.php, "parecen generar visitas de hosts maliciosos en GreyNoise, lo que significa que es probable que también estén bajo algún nivel de explotación activa".

A las tres vulnerabilidades se les asignaron puntajes CVSS "críticos" 9.8 (de 10).

¿Qué tan grande es el problema cibernético de los errores de SolarView?

Solo las instancias de SolarView expuestas a Internet están en riesgo de compromiso remoto. Una búsqueda rápida de Shodan realizada por VulnCheck reveló 615 casos conectados a la web abierta a partir de este mes.

Aquí, dice Parkin, es donde comienza el dolor de cabeza innecesario. “La mayoría de estas cosas están diseñadas para ser operadas dentro de un entorno y no debería necesitar acceso desde la Internet abierta en la mayoría de los casos de uso”, dice. Incluso cuando la conectividad remota es absolutamente necesaria, existen soluciones alternativas que pueden proteger los sistemas IoT de las partes aterradoras de Internet en general, agrega. "Puede ponerlos todos en sus propias redes de área local virtual (VLAN) en sus propios espacios de direcciones IP y restringir el acceso a ellos a algunas puertas de enlace o aplicaciones específicas, etc."

Los operadores podrían correr el riesgo de permanecer en línea si, al menos, sus sistemas están parcheados. Sorprendentemente, sin embargo, 425 de esos sistemas SolarView orientados a Internet, más de dos tercios del total, estaban ejecutando versiones del software que carecían del parche necesario.

Al menos cuando se trata de sistemas críticos, esto puede ser comprensible. “Los dispositivos de IoT y tecnología operativa a menudo son mucho más difíciles de actualizar en comparación con su PC o dispositivo móvil típico. A veces, la gerencia toma la decisión de aceptar el riesgo, en lugar de desconectar sus sistemas el tiempo suficiente para instalar parches de seguridad”, dice Parkin.

Los tres CVE se parchearon en SolarView versión 8.00.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels