3 kritieke RCE-bugs bedreigen industriële zonnepanelen

Honderden monitoringsystemen voor zonne-energie zijn kwetsbaar voor een drietal kritische kwetsbaarheden voor het uitvoeren van externe code (RCE). De hackers achter de Mirai-botnet en zelfs amateurs zijn al begonnen hun voordeel te doen, en anderen zullen volgen, voorspellen experts.

Palo Alto Networks' Unit 42-onderzoekers ontdekten dit eerder waar het Mirai-botnet zich doorheen verspreidt CVE-2022-29303, een opdrachtinjectiefout in de SolarView Series-software ontwikkeld door de fabrikant Contec. Volgens de website van Contec is SolarView gebruikt in meer dan 30,000 zonnecentrales.

Woensdag wees kwetsbaarheidsinformatiebureau VulnCheck erop in een blog post waar CVE-2022-29303 er één van is drie kritieke kwetsbaarheden in SolarView, en het zijn meer dan alleen de Mirai-hackers die zich hierop richten.

“Het meest waarschijnlijke worstcasescenario is dat je het zicht verliest op de apparatuur die wordt gemonitord en dat er iets kapot gaat”, legt Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, uit. Het is echter theoretisch ook mogelijk dat “de aanvaller de controle over het gecompromitteerde monitoringsysteem kan gebruiken om grotere schade aan te richten of dieper in de omgeving te dringen.”

Drie gaten ter grootte van ozon in SolarView

CVE-2022-29303 is afkomstig van een bepaald eindpunt in de SolarView-webserver, confi_mail.php, dat er niet in slaagt de invoergegevens van gebruikers voldoende te zuiveren, waardoor het misdrijf op afstand mogelijk is. In de maand waarin deze werd uitgebracht, kreeg de bug enige aandacht beveiligingsbloggers, onderzoekers, en een YouTuber die de exploit liet zien in een nog steeds publiek toegankelijke videodemonstratie. Maar dit was bepaald niet het enige probleem binnen SolarView.

Om te beginnen is er CVE-2023-23333, een geheel vergelijkbare kwetsbaarheid voor opdrachtinjectie. Deze heeft invloed op een ander eindpunt, downloader.php, en werd voor het eerst onthuld in februari. En er is CVE-2022-44354, gepubliceerd eind vorig jaar. CVE-2022-44354 is een onbeperkte kwetsbaarheid voor het uploaden van bestanden die nog een derde eindpunt treft, waardoor aanvallers PHP-webshells naar gerichte systemen kunnen uploaden.

VulnCheck merkte op dat deze twee eindpunten, zoals confi_mail.php, “hits lijken te genereren van kwaadwillende hosts op GreyNoise, wat betekent dat ook zij waarschijnlijk op een bepaald niveau van actieve exploitatie staan.”

Alle drie de kwetsbaarheden kregen een ‘kritieke’ CVSS-score van 9.8 (van de 10).

Hoe groot is het cyberprobleem van de SolarView-bugs?

Alleen op internet blootgestelde exemplaren van SolarView lopen het risico op externe compromittering. Een snelle Shodan-zoekopdracht door VulnCheck bracht deze maand 615 gevallen aan het licht die verband hielden met het open web.

Dit is, zegt Parkin, waar de onnodige hoofdpijn begint. “De meeste van deze dingen zijn ontworpen om te worden bediend binnen een omgeving en zou in de meeste gevallen geen toegang van het open internet nodig hebben”, zegt hij. Zelfs als externe connectiviteit absoluut noodzakelijk is, zijn er oplossingen die dat wel kunnen IoT-systemen beschermen uit de enge delen van het bredere internet, voegt hij eraan toe. “Je kunt ze allemaal op hun eigen virtuele lokale netwerken (VLAN’s) plaatsen in hun eigen IP-adresruimtes, en de toegang ertoe beperken tot een paar specifieke gateways of applicaties, enz.”

Operators lopen het risico online te blijven als hun systemen tenminste worden gepatcht. Opmerkelijk genoeg draaiden 425 van die internetgerichte SolarView-systemen – meer dan twee derde van het totaal – versies van de software zonder de noodzakelijke patch.

Als het om kritische systemen gaat, kan dit in ieder geval begrijpelijk zijn. “Apparaten voor IoT en operationele technologie zijn vaak een stuk lastiger te updaten dan je gewone pc of mobiel apparaat. Soms maakt het management de keuze om het risico te accepteren, in plaats van hun systemen lang genoeg offline te halen om beveiligingspatches te installeren”, zegt Parkin.

Alle drie de CVE's zijn gepatcht in SolarView versie 8.00.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels