3 erori critice RCE amenință panourile solare industriale

Sute de sisteme de monitorizare a energiei solare sunt vulnerabile la un trio de vulnerabilități critice de execuție de cod la distanță (RCE). Hackerii din spatele Botnet Mirai și chiar și amatorii au început deja să profite, iar alții vor urma, prevăd experții.

Unitatea 42 de la Palo Alto Networks au descoperit anterior cercetătorii prin care se răspândește botnet-ul Mirai CVE-2022-29303, un defect de injectare a comenzii în software-ul SolarView Series dezvoltat de producătorul Contec. Potrivit site-ului Contec, SolarView a fost folosit în peste 30,000 de centrale solare.

Miercuri, firma de informații despre vulnerabilități VulnCheck a subliniat într-un post pe blog că CVE-2022-29303 este unul dintre trei vulnerabilități critice din SolarView și este mai mult decât doar hackerii Mirai care le vizează.

„Cel mai probabil cel mai rău scenariu este pierderea vizibilității asupra echipamentului care este monitorizat și ca ceva să se defecteze”, explică Mike Parkin, inginer tehnic senior la Vulcan Cyber. Este, de asemenea, teoretic posibil, totuși, ca „atacatorul să poată profita de controlul sistemului de monitorizare compromis pentru a produce daune mai mari sau pentru a pătrunde mai adânc în mediu”.

Trei găuri de dimensiunea ozonului în SolarView

CVE-2022-29303 este preluat de la un anumit punct final din serverul Web SolarView, confi_mail.php, care nu reușește să igienizeze suficient datele introduse de utilizator, permițând abaterea de la distanță. În luna în care a fost lansat, bug-ul a primit o oarecare atenție de la bloggeri de securitate, cercetători, și un YouTuber care și-a arătat exploit-ul în o demonstrație video încă accesibilă publicului. Dar nu a fost singura problemă din interiorul SolarView.

În primul rând, există CVE-2023-23333, o vulnerabilitate de injectare de comandă complet similară. Acesta afectează un alt punct final, downloader.php, și a fost dezvăluit pentru prima dată în februarie. Și există CVE-2022-44354, publicat aproape de sfârșitul anului trecut. CVE-2022-44354 este o vulnerabilitate de încărcare nerestricționată a fișierelor care afectează încă un al treilea punct final, permițând atacatorilor să încarce shell-uri web PHP în sistemele vizate.

VulnCheck a remarcat că aceste două puncte finale, cum ar fi confi_mail.php, „par să genereze accesări de la gazde rău intenționate pe GreyNoise, ceea ce înseamnă că și ele sunt probabil sub un anumit nivel de exploatare activă”.

Toate cele trei vulnerabilități au primit scoruri CVSS „critice” de 9.8 (din 10).

Cât de mare este o problemă cibernetică a erorilor SolarView?

Doar instanțele SolarView expuse la internet sunt expuse riscului de compromis la distanță. O căutare rapidă Shodan de către VulnCheck a dezvăluit 615 cazuri conectate la web deschis începând cu această lună.

De aici, spune Parkin, începe durerea de cap inutilă. „Cele mai multe dintre aceste lucruri sunt concepute pentru a fi operate în un mediu și nu ar trebui să aibă nevoie de acces de la internetul deschis în majoritatea cazurilor de utilizare”, spune el. Chiar și acolo unde conectivitatea de la distanță este absolut necesară, există soluții care pot proteja sistemele IoT din părțile înfricoșătoare ale internetului mai larg, adaugă el. „Le puteți pune pe toate în propriile lor rețele locale virtuale (VLAN) în propriile spații de adrese IP și puteți restricționa accesul la ele la câteva gateway-uri sau aplicații specifice, etc.”

Operatorii ar putea risca să rămână online dacă, cel puțin, sistemele lor sunt corectate. În mod remarcabil, totuși, 425 dintre acele sisteme SolarView orientate spre Internet - mai mult de două treimi din total - rulau versiuni ale software-ului fără patch-ul necesar.

Cel puțin atunci când vine vorba de sisteme critice, acest lucru poate fi de înțeles. „Dispozitivele IoT și tehnologice operaționale sunt adesea mult mai dificil de actualizat în comparație cu computerul sau dispozitivul mobil obișnuit. Uneori, conducerea a ales să accepte riscul, mai degrabă decât să-și scoată sistemele suficient de mult timp pentru a instala corecții de securitate”, spune Parkin.

Toate cele trei CVE-uri au fost corectate în SolarView versiunea 8.00.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels