Yüzlerce güneş enerjisi izleme sistemi, üçlü kritik uzaktan kod yürütme (RCE) güvenlik açığına karşı savunmasızdır. Uzmanlar, Mirai botnet’in arkasındaki bilgisayar korsanları ve hatta amatörlerin şimdiden avantaj sağlamaya başladığını ve diğerlerinin de takip edeceğini tahmin ediyor.
Palo Alto Networks’ün Unit 42 araştırmacıları daha önce keşfetti Mirai botnet’in yayıldığını CVE-2022-29303, üretici Contec tarafından geliştirilen SolarView Serisi yazılımındaki bir komut enjeksiyon kusuru. Contec’in web sitesine göre, SolarView 30.000’den fazla güneş enerjisi santralinde kullanılmıştır.
Çarşamba günü, güvenlik açığı istihbarat firması VulnCheck dikkat çekti bir blog yazısında CVE-2022-29303, üç SolarView’daki kritik güvenlik açıkları ve onları hedefleyen Mirai bilgisayar korsanlarından daha fazlası.
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, “En olası en kötü senaryo, izlenen ekipmanın görünürlüğünü kaybetmek ve bir şeylerin arızalanmasıdır” diye açıklıyor. Yine de teorik olarak, “saldırganın daha fazla zarar vermek veya çevreye daha derine inmek için güvenliği ihlal edilmiş izleme sisteminin denetiminden yararlanabilmesi” de mümkündür.
SolarView’da Ozon Boyutunda Üç Delik
CVE-2022-29303, SolarView Web sunucusundaki belirli bir uç noktadan (confi_mail.php) alınır ve kullanıcı girdi verilerini yeterince temizlemede başarısız olur ve uzaktan suiistimale olanak tanır. Yayınlandığı ayda, hata bazı kullanıcılardan ilgi gördü. güvenlik blogcuları, araştırmacılarve istismarı sergileyen bir YouTuber hala herkesin erişebileceği bir video gösterimi. Ancak SolarView içindeki tek sorun bu değildi.
Bir şey için, var CVE-2023-23333, tamamen benzer bir komut enjeksiyon güvenlik açığı. Bu, farklı bir uç nokta olan downloader.php’yi etkiler ve ilk olarak Şubat ayında ortaya çıkmıştır. Ve var CVE-2022-44354, geçen yılın sonlarına doğru yayınlandı. CVE-2022-44354, üçüncü bir uç noktayı etkileyen ve saldırganların hedeflenen sistemlere PHP Web kabukları yüklemesine olanak tanıyan, sınırsız bir dosya yükleme güvenlik açığıdır.
VulnCheck, consfi_mail.php gibi bu iki uç noktanın “GreyNoise üzerindeki kötü niyetli ana bilgisayarlardan isabetler ürettiğini, yani bunların da muhtemelen bir düzeyde aktif sömürü altında olduklarını” belirtti.
Üç güvenlik açığına da “kritik” 9,8 (10 üzerinden) CVSS puanı verildi.
SolarView Hataları Ne Kadar Büyük Bir Siber Sorun?
Yalnızca İnternet’e açık SolarView örnekleri, uzaktan güvenlik ihlali riski altındadır. VulnCheck tarafından yapılan hızlı bir Shodan araması, bu ay itibariyle açık Web’e bağlı 615 vakayı ortaya çıkardı.
Parkin, gereksiz baş ağrısının başladığı yerin burası olduğunu söylüyor. “Bunların çoğu çalıştırılmak üzere tasarlanmıştır. içinde bir ortamdır ve çoğu kullanım durumunda açık internetten erişime ihtiyaç duymamalıdır” diyor. Hepsini kendi sanal yerel alan ağlarına (VLAN’lar) kendi IP adres alanlarına koyabilir ve bunlara erişimi belirli birkaç ağ geçidi veya uygulama vb. ile kısıtlayabilirsiniz.”
Operatörler, en azından sistemleri yamalanırsa çevrimiçi kalma riskini alabilir. Bununla birlikte, dikkat çekici bir şekilde, İnternete bakan bu SolarView sistemlerinden 425’i – toplamın üçte ikisinden fazlası – yazılımın gerekli düzeltme ekine sahip olmayan sürümlerini çalıştırıyordu.
En azından kritik sistemler söz konusu olduğunda bu anlaşılabilir olabilir. “IoT ve operasyonel teknoloji cihazlarının güncellenmesi, tipik PC’nize veya mobil cihazınıza kıyasla genellikle çok daha zordur. Bazen yönetim, sistemlerini güvenlik yamaları yüklemek için yeterince uzun süre çevrimdışı tutmak yerine riski kabul etmeyi seçer. ” diyor Parkin.
Üç CVE’ye de SolarView 8.00 sürümünde yama yapıldı.