28 mars 2025Ravie LakshmananTechnologie opérationnelle / vulnérabilité

Les chercheurs en cybersécurité ont divulgué 46 nouveaux défauts de sécurité dans les produits de trois fournisseurs d’onduleurs solaires, Sungrow, Growatt et SMA, qui pourraient être exploités par un mauvais acteur pour prendre le contrôle des appareils ou exécuter du code à distance, posant de graves risques vers des grilles électriques.

Les vulnérabilités ont été collectivement nommées COUCHER par ForeScout Vedere Labs.

“Les nouvelles vulnérabilités peuvent être exploitées pour exécuter des commandes arbitraires sur les appareils ou le cloud du fournisseur, prendre les comptes, prendre pied dans l’infrastructure du fournisseur ou prendre le contrôle des appareils des propriétaires de l’onduleur”, la société dit Dans un rapport partagé avec le Hacker News.

Cybersécurité

Certains des défauts notables identifiés sont répertoriés ci-dessous –

  • Les attaquants peuvent télécharger des fichiers .aspx qui seront exécutés par le serveur Web de SMA (Sunnyportal[.]com), entraînant une exécution de code distante
  • Les attaquants non authentifiés peuvent effectuer un énumération du nom d’utilisateur via le point de terminaison “server.growatt.com/usercenter.do”
  • Les attaquants non authentifiés peuvent obtenir la liste des usines appartenant à d’autres utilisateurs ainsi que des appareils arbitraires via le point de terminaison “Server-api.growatt.com/newtwoeicapi.do”, ce qui entraîne une prise de contrôle des appareils
  • Les attaquants non authentifiés peuvent obtenir le numéro de série d’un compteur intelligent en utilisant un nom d’utilisateur valide via le point de terminaison “server-api.growatt.com/newplantapi.do”, entraînant une prise de contrôle du compte
  • Les attaquants non authentifiés peuvent obtenir des informations sur les chargeurs EV, les informations sur la consommation d’énergie et d’autres données sensibles via le point de terminaison “evcharge.growatt.com/ocpp”, ainsi que la configuration à distance des chargeurs EV et obtenir des informations liées au firmware, entraînant une divulgation d’informations et des dommages physiques
  • Le Application Android Associé à Sungrow utilise une clé AES non sécurisée pour chiffrer les données des clients, ouvrant la porte à un scénario où un attaquant peut intercepter et décrypter les communications entre l’application mobile et IsolarCloud
  • Le Application Android Associé à Sungrow ignore explicitement les erreurs de certificat et est vulnérable aux attaques adverses dans le milieu (AITM)
  • Winet Webui de Sungrow contient un mot de passe codé dur qui peut être utilisé pour décrypter toutes les mises à jour du micrologiciel
  • Plusieurs vulnérabilités à Sungrow lors de la gestion des messages MQTT qui pourraient entraîner une exécution de code distant ou une condition de déni de service (DOS)

“Un attaquant qui a pris le contrôle d’une grande flotte d’onduleurs de Sungrow, Growatt et SMA utilisant les vulnérabilités nouvellement découvertes pourrait contrôler suffisamment de puissance pour provoquer l’instabilité à ces réseaux électriques et autres grands”, a déclaré ForeScout.

Dans un scénario d’attaque hypothétique ciblant les onduleurs de Growatt, un acteur de menace pourrait deviner les noms d’utilisateur de compte réel via une API exposée, détourner les comptes en réinitialisant leurs mots de passe à la «123456» par défaut et effectuer une exploitation de suivi.

Défauts critiques dans les onduleurs solaires

Pour aggraver les choses, la flotte détournée des onduleurs pourrait ensuite être contrôlée comme un botnet pour amplifier l’attaque et infliger des dégâts à la grille, entraînant une perturbation de la grille et des pannes potentielles. Tous les vendeurs ont depuis abordé le Problèmes identifiés suivant la divulgation responsable.

“Comme les attaquants peuvent contrôler des flottes entières d’appareils ayant un impact sur la production d’énergie, ils peuvent modifier leurs paramètres pour envoyer plus ou moins d’énergie au réseau à certains moments”, a déclaré ForeScout, ajoutant les défauts nouvellement découverts pour exposer le réseau à des attaques de ransomwares cyber-physiques.

Daniel Dos Santos, responsable de la recherche à ForeScout Vedere Labs, a déclaré que l’atténuation des risques nécessite de faire respecter les exigences de sécurité strictes lors de l’obtention d’un équipement solaire, de effectuer des évaluations régulières des risques et d’assurer une visibilité complète du réseau dans ces appareils.

La divulgation intervient comme de graves défauts de sécurité ont été découverts dans les caméras de surveillance des lignes de production fabriquées par la société japonaise Inaba Denki Sangyo qui pourraient être exploitées pour une surveillance à distance et empêcher l’enregistrement des arrêts de production.

Cybersécurité

Les vulnérabilités restent non corrigées, mais le vendeur a Les clients ont exhorté Pour restreindre l’accès à Internet et limiter, assurez-vous que ces appareils sont installés dans une zone sécurisée et restreinte accessible uniquement au personnel autorisé.

“Ces défauts permettent diverses attaques, permettant à un attaquant non authentifié d’accéder à distance et secrètement à accéder à des images en direct pour la surveillance, ou de perturber l’enregistrement des arrêts de la ligne de production empêchant la capture de moments critiques”, Nozomi Networks dit.

Ces derniers mois, la société de sécurité des technologies opérationnelles (OT) a également détaillé plusieurs défauts de sécurité dans le Relais de réseau GE Vernova N60, Zettler 130.8005 Gate d’entrée industrielleet WAGO 750-8216 / 025-001 Contrôle de logique programmable (PLC) Cela pourrait être armé par un attaquant pour prendre le contrôle total des appareils.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57