Investigadores de ciberseguridad han revelado 46 nuevas vulnerabilidades de seguridad en productos de tres proveedores de inversores solares: Sungrow, Growatt y SMA. Estas vulnerabilidades podrían ser explotadas por un atacante para tomar el control de dispositivos o ejecutar código de forma remota, lo que representa graves riesgos para las redes eléctricas.
Forescout Vedere Labs ha denominado colectivamente a estas vulnerabilidades como SUN:DOWN.
"Las nuevas vulnerabilidades pueden explotarse para ejecutar comandos arbitrarios en dispositivos o en la nube del proveedor, tomar el control de cuentas, infiltrarse en la infraestructura del proveedor o tomar el control de los dispositivos de los propietarios de los inversores", declaró la compañía en un informe.
Algunas de las fallas notables identificadas se enumeran a continuación:
- Los atacantes pueden cargar archivos .ASPX que serán ejecutados por el servidor web de SMA (sunnyportal[.]com), lo que resulta en la ejecución remota de código.
- Los atacantes no autenticados pueden realizar la enumeración de nombres de usuario a través del endpoint expuesto "server.growatt[.]com/userCenter.do".
- Los atacantes no autenticados pueden obtener la lista de plantas pertenecientes a otros usuarios, así como dispositivos arbitrarios, a través del endpoint "server-api.growatt.com/newTwoEicAPI[.]do", lo que resulta en el robo de dispositivos.
- Los atacantes no autenticados pueden obtener el número de serie de un medidor inteligente utilizando un nombre de usuario válido a través del endpoint "server-api.growatt.com/newPlantAPI[.]do", lo que resulta en el robo de cuentas.
- Los atacantes no autenticados pueden obtener información sobre cargadores de vehículos eléctricos, información de consumo de energía y otros datos confidenciales a través del endpoint "evcharge.growatt[.]com/ocpp", así como configurar remotamente cargadores de vehículos eléctricos y obtener información relacionada. Al firmware, lo que resulta en la divulgación de información y daños físicos.
- La aplicación de Android asociada con Sungrow utiliza una clave AES insegura para cifrar los datos del cliente, lo que facilita que un atacante intercepte y descifre las comunicaciones entre la aplicación móvil e iSolarCloud.
- La aplicación de Android asociada con Sungrow ignora explícitamente los errores de certificado y es vulnerable a ataques de intermediario (AitM).
- La interfaz web WiNet de Sungrow contiene una contraseña codificada que puede usarse para descifrar todas las actualizaciones de firmware.
- Múltiples vulnerabilidades en Sungrow al gestionar mensajes MQTT podrían resultar en la ejecución remota de código o una condición de denegación de servicio (DoS).
"Un atacante que obtuviera el control de una gran flota de inversores Sungrow, Growatt y SMA utilizando las vulnerabilidades recién descubiertas podría controlar suficiente energía para causar inestabilidad en estas redes eléctricas y otras importantes", afirmó Forescout.
En un escenario de ataque hipotético dirigido a los inversores Growatt, un actor de amenazas podría adivinar los nombres de usuario de las cuentas reales a través de una API expuesta, secuestrar las cuentas restableciendo sus contraseñas al valor predeterminado "123456" y realizar una explotación posterior.
Para empeorar las cosas, la flota de inversores secuestrada podría ser controlada como una botnet para amplificar el ataque y causar daños a la red, provocando interrupciones en la red y posibles apagones. Todos los proveedores han abordado los problemas identificados tras la divulgación responsable.
"Dado que los atacantes pueden controlar flotas enteras de dispositivos con impacto en la producción de energía, pueden modificar su configuración para enviar más o menos energía a la red en determinados momentos", declaró Forescout, añadiendo que las fallas recién descubiertas podrían exponer la red a ataques de ransomware ciberfísico.
Daniel dos Santos, jefe de investigación de Forescout Vedere Labs, afirmó que mitigar los riesgos requiere aplicar estrictos requisitos de seguridad al adquirir equipos solares, realizar evaluaciones de riesgos periódicas y garantizar la visibilidad completa de la red en estos dispositivos.
La divulgación se produce tras el descubrimiento de graves fallas de seguridad en las cámaras de monitoreo de la línea de producción fabricadas por la empresa japonesa Inaba Denki Sangyo, que podrían explotarse para la vigilancia remota e impedir la grabación de las paradas de producción.
Las vulnerabilidades siguen sin parchearse, pero el proveedor ha instado a los clientes a restringir el acceso a internet y a garantizar que dichos dispositivos se instalen en un área segura y restringida, accesible únicamente para personal autorizado.
"Estas fallas facilitan diversos ataques, permitiendo que un atacante no autenticado acceda de forma remota y secreta a grabaciones en directo para vigilancia, o interrumpa la grabación de paradas de la línea de producción, impidiendo la captura de momentos críticos", declaró Nozomi Networks.
En los últimos meses, la empresa de seguridad de tecnología operativa (OT) también ha detallado múltiples fallas de seguridad en el relé de red GE Vernova N60, la puerta de enlace industrial Zettler 130.8005 y el controlador lógico programable (PLC) Wago 750-8216/025-001, que un atacante podría utilizar para tomar el control total de los dispositivos.
Fuente: THN