سیکڑوں شمسی توانائی کی نگرانی کے نظام تینوں اہم ریموٹ کوڈ ایگزیکیوشن (RCE) کے خطرات کا شکار ہیں۔ اس کے پیچھے ہیکرز میرای botnet اور یہاں تک کہ شوقیہ افراد نے پہلے ہی فائدہ اٹھانا شروع کر دیا ہے، اور دوسرے اس کی پیروی کریں گے، ماہرین پیشین گوئی کر رہے ہیں۔
پالو آلٹو نیٹ ورکس یونٹ 42 کے محققین نے پہلے دریافت کیا تھا۔ کہ میرا بوٹ نیٹ پھیل رہا ہے۔ CVE-2022-29303, SolarView Series سافٹ ویئر میں ایک کمانڈ انجیکشن کی خامی جو مینوفیکچرر Contec کے تیار کردہ ہے۔ Contec کی ویب سائٹ کے مطابق، SolarView 30,000 سے زیادہ سولر پاور سٹیشنوں میں استعمال ہو چکا ہے۔
بدھ کے روز، خطرے کی انٹیلی جنس فرم VulnCheck نے نشاندہی کی۔ ایک بلاگ پوسٹ میں کہ CVE-2022-29303 ان میں سے ایک ہے۔ تین سولر ویو میں اہم کمزوریاں، اور یہ صرف میرای ہیکرز کی جانب سے انہیں نشانہ بنانے سے زیادہ ہے۔
ولکن سائبر کے سینئر ٹیکنیکل انجینئر، مائیک پارکن کی وضاحت کرتے ہوئے، "سب سے زیادہ ممکنہ طور پر بدترین صورت حال یہ ہے کہ وہ آلات کی نظر کو کھو رہے ہیں جن کی نگرانی کی جا رہی ہے اور کچھ خراب ہو گیا ہے۔" یہ نظریاتی طور پر بھی ممکن ہے، اگرچہ، کہ "حملہ آور زیادہ نقصان پہنچانے یا ماحول کی گہرائی میں جانے کے لیے سمجھوتہ کیے گئے مانیٹرنگ سسٹم کے کنٹرول کا فائدہ اٹھا سکتا ہے۔"
سولر ویو میں اوزون کے سائز کے تین سوراخ
CVE-2022-29303 SolarView ویب سرور، confi_mail.php میں ایک خاص اختتامی نقطہ سے پیدا ہوتا ہے، جو صارف کے ان پٹ ڈیٹا کو کافی حد تک صاف کرنے میں ناکام رہتا ہے، جس سے ریموٹ خرابی کو فعال کیا جاتا ہے۔ جس مہینے میں اسے جاری کیا گیا تھا، اس مسئلے پر کچھ توجہ ملی سیکورٹی بلاگرز, محققین، اور ایک YouTuber جس نے استحصال کو دکھایا عوامی طور پر قابل رسائی ویڈیو مظاہرہ. لیکن سولر ویو کے اندر شاید ہی یہ واحد مسئلہ تھا۔
ایک چیز کے لئے، وہاں ہے CVE-2023-23333، مکمل طور پر اسی طرح کی کمانڈ انجیکشن کمزوری۔ یہ ایک مختلف اختتامی نقطہ، downloader.php کو متاثر کرتا ہے، اور فروری میں پہلی بار ظاہر ہوا تھا۔ اور وہاں ہے CVE-2022-44354، پچھلے سال کے آخر میں شائع ہوا۔ CVE-2022-44354 ایک غیر محدود فائل اپ لوڈ کرنے کا خطرہ ہے جو تیسرے اختتامی نقطہ کو متاثر کرتا ہے، جو حملہ آوروں کو PHP ویب شیلز کو ٹارگٹڈ سسٹمز پر اپ لوڈ کرنے کے قابل بناتا ہے۔
VulnCheck نے نوٹ کیا کہ یہ دونوں اختتامی نقطے، جیسے confi_mail.php، "GreyNoise پر بدنیتی پر مبنی میزبانوں کی طرف سے کامیابیاں پیدا کرتے دکھائی دیتے ہیں، مطلب یہ ہے کہ وہ بھی ممکنہ طور پر کسی نہ کسی سطح کے فعال استحصال کے تحت ہیں۔"
تینوں کمزوریوں کو "اہم" 9.8 (10 میں سے) CVSS اسکور تفویض کیے گئے تھے۔
سولر ویو کیڑے کتنے بڑے سائبر مسئلہ ہیں؟
سولر ویو کی صرف انٹرنیٹ سے ظاہر ہونے والی مثالیں ہی ریموٹ کمپرومائز کے خطرے میں ہیں۔ VulnCheck کی ایک فوری شوڈن تلاش سے اس مہینے تک اوپن ویب سے منسلک 615 کیسز سامنے آئے۔
پارکن کا کہنا ہے کہ یہ وہ جگہ ہے جہاں سے غیر ضروری سر درد شروع ہوتا ہے۔ "ان میں سے زیادہ تر چیزوں کو چلانے کے لیے ڈیزائن کیا گیا ہے۔ کے اندر ایک ایسا ماحول اور زیادہ تر استعمال کے معاملات میں کھلے انٹرنیٹ سے رسائی کی ضرورت نہیں ہونی چاہیے،" وہ کہتے ہیں۔ یہاں تک کہ جہاں ریموٹ کنیکٹیویٹی بالکل ضروری ہے، وہاں ایسے کام ہیں جو کر سکتے ہیں۔ آئی او ٹی سسٹمز کی حفاظت کریں۔ وسیع تر انٹرنیٹ کے خوفناک حصوں سے، وہ مزید کہتے ہیں۔ "آپ ان سب کو ان کے اپنے ورچوئل لوکل ایریا نیٹ ورکس (VLANs) پر ان کے اپنے IP ایڈریس اسپیس میں رکھ سکتے ہیں، اور ان تک رسائی کو چند مخصوص گیٹ ویز یا ایپلی کیشنز وغیرہ تک محدود کر سکتے ہیں۔"
آپریٹرز کو آن لائن رہنے کا خطرہ ہو سکتا ہے اگر، کم از کم، ان کے سسٹمز کو پیچ کیا گیا ہو۔ تاہم، قابل ذکر بات یہ ہے کہ، انٹرنیٹ کا سامنا کرنے والے سولر ویو سسٹمز میں سے 425 - کل کے دو تہائی سے زیادہ - سافٹ ویئر کے ایسے ورژن چلا رہے تھے جن میں ضروری پیچ کی کمی تھی۔
کم از کم جب اہم نظاموں کی بات آتی ہے تو یہ بات قابل فہم ہوسکتی ہے۔ "IoT اور آپریشنل ٹکنالوجی کے آلات اکثر آپ کے عام پی سی یا موبائل ڈیوائس کے مقابلے اپ ڈیٹ کرنا بہت زیادہ مشکل ہوتے ہیں۔ پارکن کا کہنا ہے کہ اس میں بعض اوقات انتظامیہ خطرے کو قبول کرنے کا انتخاب کرتی ہے، بجائے اس کے کہ وہ اپنے سسٹم کو سیکیورٹی پیچ انسٹال کرنے کے لیے کافی دیر تک آف لائن لے جائے۔
تینوں CVEs سولر ویو ورژن 8.00 میں پیچ کیے گئے تھے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels
- : ہے
- : ہے
- :کہاں
- 000
- 10
- 30
- 7
- 8
- 9
- a
- قابلیت
- بالکل
- قبول کریں
- تک رسائی حاصل
- قابل رسائی
- کے مطابق
- فعال
- پتہ
- جوڑتا ہے
- فائدہ
- کو متاثر
- تمام
- پہلے ہی
- بھی
- an
- اور
- ظاہر
- ایپلی کیشنز
- کیا
- رقبہ
- AS
- تفویض
- At
- توجہ
- BE
- رہا
- پیچھے
- کیا جا رہا ہے
- بگ
- بلاگ
- کی botnet
- توڑ
- بگ کی اطلاع دیں
- کیڑوں
- لیکن
- by
- کر سکتے ہیں
- مقدمات
- چیلنج
- انتخاب
- کوڈ
- آتا ہے
- مقابلے میں
- سمجھوتہ
- سمجھوتہ کیا
- منسلک
- رابطہ
- کنٹرول
- اہم
- سائبر
- اعداد و شمار
- گہرے
- ڈیزائن
- ترقی یافتہ
- آلہ
- کے الات
- مختلف
- do
- نیچے
- کو فعال کرنا
- آخر
- اختتام پوائنٹ
- انجینئر
- کافی
- مکمل
- ماحولیات
- کا سامان
- وغیرہ
- بھی
- پھانسی
- ماہرین
- بیان کرتا ہے
- دھماکہ
- استحصال
- ناکام رہتا ہے
- فروری
- چند
- فائل
- فرم
- پہلا
- غلطی
- پر عمل کریں
- سے
- پیدا
- حاصل
- زیادہ سے زیادہ
- ہیکروں
- ہے
- ہونے
- he
- مشاہدات
- سوراخ
- میزبان
- تاہم
- HTTPS
- if
- in
- صنعتی
- ان پٹ
- کے اندر
- انسٹال
- انٹیلی جنس
- انٹرنیٹ
- میں
- IOT
- IP
- IP ایڈریس
- IT
- فوٹو
- صرف
- آخری
- آخری سال
- کم سے کم
- سطح
- لیوریج
- کی طرح
- امکان
- مقامی
- لانگ
- کھونے
- بہت
- بنانا
- انتظام
- ڈویلپر
- مئی..
- مطلب
- شاید
- مائک
- موبائل
- موبائل ڈیوائس
- نگرانی کی
- نگرانی
- مہینہ
- زیادہ
- سب سے زیادہ
- قریب
- ضروری
- ضرورت ہے
- نیٹ ورک
- نیسٹ
- کا کہنا
- of
- بند
- اکثر
- on
- ایک
- آن لائن
- صرف
- کھول
- آپریشنل
- or
- دیگر
- باہر
- خود
- پینل
- خاص طور پر
- حصے
- پیچ
- پیچ
- PC
- پی ایچ پی
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- ممکن
- طاقت
- پیش گوئی
- پہلے
- مسئلہ
- عوامی طور پر
- شائع
- ڈال
- فوری
- بلکہ
- موصول
- جاری
- باقی
- ریموٹ
- محققین
- محدود
- انکشاف
- رسک
- چل رہا ہے
- s
- کا کہنا ہے کہ
- منظر نامے
- تلاش کریں
- سیکورٹی
- سینئر
- سیریز
- سے ظاہر ہوا
- اسی طرح
- سافٹ ویئر کی
- شمسی
- شمسی پینل
- شمسی توانائی
- کچھ
- کچھ
- خالی جگہیں
- مخصوص
- پھیلانا
- شروع
- شروع ہوتا ہے
- سٹیشنوں
- ابھی تک
- کے نظام
- سسٹمز
- لے لو
- لینے
- ھدف بنائے گئے
- ھدف بندی
- ٹیکنیکل
- ٹیکنالوجی
- سے
- کہ
- ۔
- ان
- ان
- وہاں.
- یہ
- وہ
- بات
- چیزیں
- تھرڈ
- اس
- ان
- اگرچہ؟
- خطرہ
- تین
- کرنے کے لئے
- بھی
- کل
- تینوں
- دو
- ٹھیٹھ
- کے تحت
- فہم
- یونٹ
- اپ ڈیٹ کریں
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- ورژن
- ویڈیو
- مجازی
- کی نمائش
- vulcan
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- تھا
- ویب
- ویب سرور
- ویب سائٹ
- بدھ کے روز
- تھے
- جب
- جس
- ڈبلیو
- وسیع
- گے
- سال
- ابھی
- تم
- اور
- یو ٹیوب پر
- آپ ٹیوٹر
- زیفیرنیٹ