3 bug critici RCE minacciano i pannelli solari industriali

Centinaia di sistemi di monitoraggio dell’energia solare sono vulnerabili a tre vulnerabilità critiche di esecuzione di codice remoto (RCE). Gli hacker dietro il Botnet Mirai e anche i dilettanti hanno già iniziato ad approfittarne, e altri ne seguiranno, prevedono gli esperti.

Scoperto in precedenza dai ricercatori dell'Unità 42 di Palo Alto Networks attraverso il quale si sta diffondendo la botnet Mirai CVE-2022-29303, un difetto di command injection nel software della serie SolarView sviluppato dal produttore Contec. Secondo il sito web di Contec, SolarView è stato utilizzato in più di 30,000 centrali solari.

Mercoledì lo ha sottolineato la società di intelligence sulle vulnerabilità VulnCheck in un post sul blog che CVE-2022-29303 è uno di tre vulnerabilità critiche in SolarView, e non sono solo gli hacker Mirai a prenderli di mira.

"Lo scenario peggiore più probabile è la perdita di visibilità delle apparecchiature monitorate e il verificarsi di un guasto", spiega Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber. In teoria, però, è anche possibile che "l'aggressore sia in grado di sfruttare il controllo del sistema di monitoraggio compromesso per causare danni maggiori o penetrare più in profondità nell'ambiente".

Tre buchi delle dimensioni dell'ozono in SolarView

CVE-2022-29303 nasce da un particolare endpoint nel server Web SolarView, confi_mail.php, che non riesce a disinfettare sufficientemente i dati di input dell'utente, consentendo il comportamento illecito remoto. Nel mese in cui è stato rilasciato, il bug ha ricevuto una certa attenzione da parte di blogger sulla sicurezza, ricercatorie uno YouTuber che ha mostrato l'exploit in una dimostrazione video ancora accessibile al pubblico. Ma non era certo l'unico problema all'interno di SolarView.

Per prima cosa, c'è CVE-2023-23333, una vulnerabilità di command injection del tutto simile. Questo riguarda un endpoint diverso, downloader.php, ed è stato rivelato per la prima volta a febbraio. E c'è CVE-2022-44354, pubblicato verso la fine dello scorso anno. CVE-2022-44354 è una vulnerabilità di caricamento file illimitato che colpisce ancora un terzo endpoint, consentendo agli aggressori di caricare shell Web PHP su sistemi mirati.

VulnCheck ha notato che questi due endpoint, come confi_mail.php, "sembrano generare hit da host dannosi su GreyNoise, il che significa che anche loro sono probabilmente soggetti a un certo livello di sfruttamento attivo".

A tutte e tre le vulnerabilità sono stati assegnati punteggi CVSS “critici” di 9.8 (su 10).

Quanto sono grandi i bug di SolarView come problema informatico?

Solo le istanze di SolarView esposte su Internet sono a rischio di compromissione remota. Una rapida ricerca Shodan effettuata da VulnCheck ha rivelato 615 casi collegati al Web aperto a partire da questo mese.

Questo, dice Parkin, è dove iniziano gli inutili grattacapi. “La maggior parte di queste cose sono progettate per essere utilizzate entro un ambiente e non dovrebbe aver bisogno dell'accesso da una rete Internet aperta nella maggior parte dei casi d'uso", afferma. Anche laddove la connettività remota è assolutamente necessaria, esistono soluzioni alternative che possono farlo proteggere i sistemi IoT dalle parti spaventose di Internet, aggiunge. "Puoi metterli tutti sulle proprie reti locali virtuali (VLAN) nei propri spazi di indirizzi IP e limitare l'accesso ad alcuni gateway o applicazioni specifici, ecc."

Gli operatori potrebbero rischiare di rimanere online se, almeno, i loro sistemi venissero patchati. Sorprendentemente, tuttavia, 425 di questi sistemi SolarView collegati a Internet – più di due terzi del totale – eseguivano versioni del software prive della patch necessaria.

Almeno quando si tratta di sistemi critici, questo può essere comprensibile. “I dispositivi IoT e tecnologici operativi sono spesso molto più difficili da aggiornare rispetto al tipico PC o dispositivo mobile. A volte il management sceglie di accettare il rischio, piuttosto che tenere i sistemi offline per il tempo necessario a installare patch di sicurezza", afferma Parkin.

Tutti e tre i CVE sono stati aggiornati nella versione SolarView 8.00.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels