Ricercatori di cybersecurity hanno scoperto 46 nuove vulnerabilità nei prodotti di tre fornitori di inverter solari: Sungrow, Growatt e SMA. Queste falle di sicurezza potrebbero essere sfruttate da malintenzionati per prendere il controllo dei dispositivi o eseguire codice da remoto, rappresentando gravi rischi per le reti elettriche.
Vulnerabilità SUN:DOWN
Le vulnerabilità sono state collettivamente denominate SUN:DOWN da Forescout Vedere Labs. “Le nuove vulnerabilità possono essere sfruttate per eseguire comandi arbitrari sui dispositivi o sul cloud del fornitore, prendere il controllo degli account, ottenere un punto d’appoggio nell’infrastruttura del fornitore o controllare i dispositivi degli utenti degli inverter”, ha dichiarato l’azienda in un rapporto condiviso con The Hacker News.
Dettagli delle vulnerabilità
Alcune delle falle più significative identificate includono:
- Gli attaccanti possono caricare file .aspx che verranno eseguiti dal server web di SMA (sunnyportal[.]com), portando all’esecuzione di codice da remoto.
- Attaccanti non autenticati possono eseguire l’enumerazione dei nomi utente tramite l’endpoint esposto “server.growatt.com/userCenter.do”.
- Attaccanti non autenticati possono ottenere la lista degli impianti appartenenti ad altri utenti e dispositivi arbitrari tramite l’endpoint “server-api.growatt.com/newTwoEicAPI.do”, portando al controllo dei dispositivi.
- Attaccanti non autenticati possono ottenere il numero di serie di un contatore intelligente utilizzando un nome utente valido tramite l’endpoint “server-api.growatt.com/newPlantAPI.do”, portando al controllo degli account.
- Attaccanti non autenticati possono ottenere informazioni sui caricabatterie per veicoli elettrici, informazioni sul consumo energetico e altri dati sensibili tramite l’endpoint “evcharge.growatt.com/ocpp”, oltre a configurare da remoto i caricabatterie e ottenere informazioni relative al firmware, portando alla divulgazione di informazioni e danni fisici.
- L’applicazione Android associata a Sungrow utilizza una chiave AES insicura per crittografare i dati dei clienti, aprendo la porta a scenari in cui un attaccante può intercettare e decrittare le comunicazioni tra l’app mobile e iSolarCloud.
- L’applicazione Android associata a Sungrow ignora esplicitamente gli errori di certificato ed è vulnerabile agli attacchi di tipo adversary-in-the-middle (AitM).
- Il WiNet WebUI di Sungrow contiene una password hard-coded che può essere utilizzata per decrittare tutti gli aggiornamenti firmware.
- Molteplici vulnerabilità in Sungrow nella gestione dei messaggi MQTT che potrebbero portare all’esecuzione di codice da remoto o a una condizione di denial-of-service (DoS).
Implicazioni per le reti elettriche
“Un attaccante che ha preso il controllo di una vasta flotta di inverter Sungrow, Growatt e SMA utilizzando le vulnerabilità appena scoperte potrebbe controllare abbastanza potenza da causare instabilità a queste reti elettriche e ad altre principali”, ha affermato Forescout.
Scenario di attacco ipotetico
In uno scenario di attacco ipotetico che prende di mira gli inverter Growatt, un attore malintenzionato potrebbe indovinare i veri nomi utente degli account tramite un’API esposta, dirottare gli account reimpostando le loro password al valore predefinito “123456” e procedere con ulteriori sfruttamenti.
Per peggiorare le cose, la flotta di inverter dirottata potrebbe essere controllata come una botnet per amplificare l’attacco e infliggere danni alla rete, portando a interruzioni della rete e potenziali blackout.
Fonte: The Hackers News
