3 kritiska RCE-buggar hotar industriella solpaneler

3 kritiska RCE-buggar hotar industriella solpaneler

Tidsstämpel: 5 juli 2023 9:00
3 kritiska RCE-buggar hotar industriella solpaneler PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Hundratals solenergiövervakningssystem är sårbara för en trio av kritiska sårbarheter för fjärrkodexekvering (RCE). Hackarna bakom Mirai botnet och även amatörer har redan börjat dra nytta, och andra kommer att följa, förutspår experter.

Palo Alto Networks Unit 42-forskare upptäckte tidigare som Mirai-botnätet sprider sig genom CVE-2022-29303, ett kommandoinjektionsfel i programvaran SolarView Series utvecklad av tillverkaren Contec. Enligt Contecs hemsida har SolarView använts i mer än 30,000 XNUMX solkraftverk.

På onsdagen påpekade sårbarhetsunderrättelseföretaget VulnCheck i ett blogginlägg som CVE-2022-29303 är en av tre kritiska sårbarheter i SolarView, och det är mer än bara Mirai-hackerna som riktar sig mot dem.

"Det mest troliga värsta scenariot är att förlora insyn i utrustningen som övervakas och att något går sönder", förklarar Mike Parkin, senior teknisk ingenjör på Vulcan Cyber. Det är dock också teoretiskt möjligt att "angriparen kan utnyttja kontrollen över det komprometterade övervakningssystemet för att göra större skada eller komma djupare in i miljön."

Tre hål i ozonstorlek i SolarView

CVE-2022-29303 bärs från en viss slutpunkt i SolarView-webbservern, confi_mail.php, som inte tillräckligt sanerar användarindata, vilket möjliggör fjärrfelet. Under månaden den släpptes fick buggen en del uppmärksamhet från säkerhetsbloggareforskare, och en YouTuber som visade upp utnyttjandet i en fortfarande allmänt tillgänglig videodemonstration. Men det var knappast det enda problemet inuti SolarView.

För det första finns det CVE-2023-23333, en helt liknande sårbarhet för kommandoinjektion. Den här påverkar en annan slutpunkt, downloader.php, och avslöjades först i februari. Och det finns CVE-2022-44354, publicerad i slutet av förra året. CVE-2022-44354 är en obegränsad filuppladdningssårbarhet som påverkar ännu en tredje slutpunkt, vilket gör det möjligt för angripare att ladda upp PHP-webbskal till riktade system.

VulnCheck noterade att dessa två slutpunkter, som confi_mail.php, "tycks generera träffar från skadliga värdar på GreyNoise, vilket betyder att de också sannolikt är under en viss nivå av aktivt utnyttjande."

Alla tre sårbarheterna tilldelades "kritiska" 9.8 (av 10) CVSS-poäng.

Hur stort cyberproblem är SolarView-buggarna?

Endast Internet-exponerade instanser av SolarView löper risk för fjärrkompromettering. En snabb Shodan-sökning av VulnCheck avslöjade 615 fall kopplade till den öppna webben den här månaden.

Det är här, säger Parkin, den onödiga huvudvärken börjar. "De flesta av dessa saker är designade för att användas inom en miljö och borde inte behöva åtkomst från det öppna Internet i de flesta fall”, säger han. Även där fjärranslutning är absolut nödvändig finns det lösningar som kan göra det skydda IoT-system från de skrämmande delarna av det bredare Internet, tillägger han. "Du kan placera dem alla på sina egna virtuella lokala nätverk (VLAN) i sina egna IP-adressutrymmen och begränsa åtkomsten till dem till några specifika gateways eller applikationer, etc."

Operatörer kan riskera att förbli online om åtminstone deras system korrigeras. Anmärkningsvärt är dock att 425 av dessa Internet-vända SolarView-system – mer än två tredjedelar av det totala – körde versioner av programvaran som saknade den nödvändiga patchen.

Åtminstone när det kommer till kritiska system kan detta vara förståeligt. "IoT- och driftteknikenheter är ofta mycket mer utmanande att uppdatera jämfört med din vanliga PC eller mobila enhet. Det får ibland ledningen att välja att acceptera risken, snarare än att ta sina system off-line tillräckligt länge för att installera säkerhetskorrigeringar, säger Parkin.

Alla tre CVE:er patchades i SolarView version 8.00.

Tidsstämpel:

Mer från Mörk läsning