3 krytyczne błędy RCE zagrażają przemysłowym panelom słonecznym

Setki systemów monitorowania energii słonecznej są podatne na trzy krytyczne luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu (RCE). Hakerzy stojący za Botnet Mirai i nawet amatorzy już zaczęli z tego korzystać, a inni pójdą w ich ślady – przewidują eksperci.

Odkryli to już badacze z Palo Alto Networks Unit 42 przez który rozprzestrzenia się botnet Mirai CVE-2022-29303, błąd polegający na wstrzykiwaniu poleceń w oprogramowaniu serii SolarView opracowanym przez producenta Contec. Według strony internetowej Contec, SolarView zastosowano w ponad 30,000 XNUMX elektrowni słonecznych.

W środę wskazała firma VulnCheck zajmująca się badaniem luk w zabezpieczeniach w blogu że CVE-2022-29303 jest jednym z trzy krytyczne luki w zabezpieczeniach SolarView i nie chodzi tylko o to, że hakerzy Mirai ich celem.

„Najbardziej prawdopodobny najgorszy scenariusz to utrata widoczności monitorowanego sprzętu i awaria” – wyjaśnia Mike Parkin, starszy inżynier techniczny w Vulcan Cyber. Teoretycznie jest jednak również możliwe, że „osoba atakująca jest w stanie wykorzystać kontrolę nad zaatakowanym systemem monitorowania, aby wyrządzić większe szkody lub dostać się głębiej do środowiska”.

Trzy dziury wielkości ozonu w SolarView

CVE-2022-29303 pochodzi z określonego punktu końcowego na serwerze internetowym SolarView, confi_mail.php, który nie oczyszcza w wystarczającym stopniu danych wejściowych użytkownika, umożliwiając zdalne nadużycie. W miesiącu, w którym został wydany, błąd wzbudził pewne zainteresowanie blogerzy zajmujący się bezpieczeństwem, Badaczei jeden YouTuber, który pochwalił się exploitem w nadal publicznie dostępną demonstrację wideo. Ale to nie był jedyny problem w SolarView.

Po pierwsze, jest CVE-2023-23333, całkowicie podobna luka w zabezpieczeniach polegająca na wstrzykiwaniu poleceń. Ten dotyczy innego punktu końcowego, downloader.php i został po raz pierwszy ujawniony w lutym. I jest CVE-2022-44354, opublikowane pod koniec ubiegłego roku. CVE-2022-44354 to luka w zabezpieczeniach umożliwiająca nieograniczone przesyłanie plików, wpływająca na trzeci punkt końcowy, umożliwiająca atakującym przesyłanie powłok PHP Web Shell do docelowych systemów.

VulnCheck zauważył, że te dwa punkty końcowe, takie jak confi_mail.php, „wydają się generować trafienia ze złośliwych hostów w GreyNoise, co oznacza, że ​​one również prawdopodobnie są w pewnym stopniu aktywnie wykorzystywane”.

Wszystkim trzem lukom przypisano „krytyczne” oceny CVSS na poziomie 9.8 (na 10).

Jak dużym problemem cybernetycznym są błędy SolarView?

Tylko instancje SolarView dostępne w Internecie są zagrożone zdalnym naruszeniem bezpieczeństwa. Szybkie wyszukiwanie Shodan przez VulnCheck ujawniło, że w tym miesiącu do otwartej sieci podłączonych było 615 przypadków.

To właśnie tutaj, mówi Parkin, zaczyna się niepotrzebny ból głowy. „Większość z tych rzeczy jest zaprojektowana do obsługi w ciągu środowisko i w większości przypadków nie powinno wymagać dostępu z otwartego Internetu” – mówi. Nawet tam, gdzie zdalna łączność jest absolutnie konieczna, istnieją rozwiązania, które to umożliwiają chronić systemy IoT z przerażających części szerszego Internetu – dodaje. „Możesz umieścić je wszystkie w ich własnych wirtualnych sieciach lokalnych (VLAN) w ich własnych przestrzeniach adresowych IP i ograniczyć dostęp do nich do kilku określonych bram lub aplikacji itp.”.

Operatorzy mogą ryzykować pozostaniem online, jeśli przynajmniej ich systemy zostaną załatane. Co jednak niezwykłe, na 425 z tych systemów SolarView podłączonych do Internetu – ponad dwie trzecie wszystkich – działały wersje oprogramowania pozbawione niezbędnej poprawki.

Przynajmniej jeśli chodzi o systemy krytyczne, może to być zrozumiałe. „Aktualizacja urządzeń IoT i technologii operacyjnych jest często znacznie trudniejsza w porównaniu z typowym komputerem stacjonarnym lub urządzeniem mobilnym. Czasami kierownictwo podejmuje decyzję o zaakceptowaniu ryzyka, zamiast odłączać swoje systemy od sieci na wystarczająco długo, aby zainstalować poprawki zabezpieczeń” – mówi Parkin.

Wszystkie trzy CVE zostały załatane w wersji SolarView 8.00.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels