3 bogues critiques du RCE menacent les panneaux solaires industriels

Des centaines de systèmes de surveillance de l'énergie solaire sont vulnérables à un trio de vulnérabilités critiques d'exécution de code à distance (RCE). Les pirates derrière le Mirai botnet et même les amateurs ont déjà commencé à en profiter, et d'autres suivront, prédisent les experts.

Les chercheurs de l'unité 42 de Palo Alto Networks ont découvert précédemment que le botnet Mirai se propage à travers CVE-2022-29303, une faille d'injection de commandes dans le logiciel SolarView Series développé par le fabricant Contec. Selon le site Web de Contec, SolarView a été utilisé dans plus de 30,000 XNUMX centrales solaires.

Mercredi, la société de renseignements sur les vulnérabilités VulnCheck a souligné dans un billet de blog que CVE-2022-29303 est l'un des trois  vulnérabilités critiques dans SolarView, et ce ne sont pas seulement les pirates Mirai qui les ciblent.

"Le pire scénario le plus probable est de perdre la visibilité sur l'équipement surveillé et de tomber en panne", explique Mike Parkin, ingénieur technique senior chez Vulcan Cyber. Il est également théoriquement possible, cependant, que "l'attaquant soit capable de tirer parti du contrôle du système de surveillance compromis pour faire plus de dégâts ou s'enfoncer plus profondément dans l'environnement".

Trois trous de la taille de l'ozone dans SolarView

CVE-2022-29303 provient d'un point de terminaison particulier du serveur Web SolarView, confi_mail.php, qui ne parvient pas à nettoyer suffisamment les données d'entrée de l'utilisateur, ce qui permet la malversation à distance. Au cours du mois de sa publication, le bogue a attiré l'attention de blogueurs de sécurité, chercheurs, et un YouTuber qui a montré l'exploit dans une vidéo de démonstration toujours accessible au public. Mais ce n'était pas le seul problème à l'intérieur de SolarView.

D'une part, il y a CVE-2023-23333, une vulnérabilité d'injection de commande entièrement similaire. Celui-ci affecte un point de terminaison différent, downloader.php, et a été révélé pour la première fois en février. Et il y a CVE-2022-44354, publié vers la fin de l'année dernière. CVE-2022-44354 est une vulnérabilité de téléchargement de fichiers sans restriction affectant encore un troisième point de terminaison, permettant aux attaquants de télécharger des shells Web PHP sur des systèmes ciblés.

VulnCheck a noté que ces deux points de terminaison, comme confi_mail.php, "semblent générer des hits d'hôtes malveillants sur GreyNoise, ce qui signifie qu'ils sont également probablement sous un certain niveau d'exploitation active".

Les trois vulnérabilités ont reçu des scores CVSS « critiques » de 9.8 (sur 10).

Quelle est l'ampleur d'un problème cybernétique avec les bogues de SolarView ?

Seules les instances de SolarView exposées à Internet risquent d'être compromises à distance. Une recherche Shodan rapide par VulnCheck a révélé 615 cas connectés au Web ouvert ce mois-ci.

C'est là, dit Parkin, que commence le mal de tête inutile. "La plupart de ces choses sont conçues pour être exploitées dans les un environnement et ne devrait pas avoir besoin d'un accès à partir de l'Internet ouvert dans la plupart des cas d'utilisation », dit-il. Même lorsque la connectivité à distance est absolument nécessaire, il existe des solutions de contournement qui peuvent protéger les systèmes IoT des parties effrayantes de l'Internet au sens large, ajoute-t-il. "Vous pouvez tous les mettre sur leurs propres réseaux locaux virtuels (VLAN) dans leurs propres espaces d'adressage IP, et restreindre leur accès à quelques passerelles ou applications spécifiques, etc."

Les opérateurs risquent de rester en ligne si, au moins, leurs systèmes sont corrigés. Remarquablement, cependant, 425 de ces systèmes SolarView connectés à Internet - plus des deux tiers du total - exécutaient des versions du logiciel dépourvues du correctif nécessaire.

Au moins en ce qui concerne les systèmes critiques, cela peut être compréhensible. "Les appareils IoT et de technologie opérationnelle sont souvent beaucoup plus difficiles à mettre à jour par rapport à votre PC ou appareil mobile typique. Parfois, la direction fait le choix d'accepter le risque, plutôt que de mettre ses systèmes hors ligne assez longtemps pour installer des correctifs de sécurité », explique Parkin.

Les trois CVE ont été corrigés dans SolarView version 8.00.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels