Недавнее обнаружение 46 критических уязвимостей в инверторах производителей Sungrow, Growatt и SMA привлекает внимание специалистов в области кибербезопасности, поскольку эти дефекты могут подвергнуть угрозе работу электрических сетей. Исследование, проведённое Forescout Vedere Labs, получило коллективное название SUN:DOWN и демонстрирует высокую вероятность удалённого выполнения кода, захвата контроля над устройствами и даже полномасштабного воздействия на инфраструктуру производителей.
В инверторах SMA специалисты выявили возможность загрузки файлов с расширением.aspx на веб-сервер sunnyportal[.]com, что открывает путь для проведения атак с удалённым выполнением кода. Этот метод позволяет злоумышленникам получить контроль над устройствами и получить доступ к критически важной информации, что вызывает серьёзное беспокойство в отношении безопасности эксплуатации солнечных электростанций.
Исследования также показали, что продукция Growatt подвержена ряду серьезных уязвимостей. Через конечную точку можно выполнять неаутентифицированное перечисление имён пользователей, а доступ к endpoint позволяет получить списки установок и устройств, принадлежащих другим пользователям, что может привести к захвату устройств. Дополнительно, через сервер возможно неавторизованное получение серийного номера умного счётчика, а endpoint раскрывает возможность получения данных о зарядных станциях для электромобилей, энергетических показателях и конфигурационных параметрах, что может угрожать как информационной безопасности, так и физической целостности оборудования.
В устройствах Sungrow обнаружены несколько критичных недостатков: Android-приложение использует ненадёжный AES-ключ для шифрования данных, что позволяет злоумышленнику перехватывать и расшифровывать коммуникацию между мобильным приложением и iSolarCloud. Приложение также игнорирует ошибки сертификата, что увеличивает риск атак типа «адверсари-ин-зе-миддл». Помимо этого, уязвимость в веб-интерфейсе WiNet с наличием жестко заданного пароля позволяет злоумышленникам расшифровывать обновления прошивки, а ошибки в обработке MQTT-сообщений создают условия для удалённого выполнения кода или организации DoS-атак.
Потенциальное воздействие на энергетические сети вызывает серьёзное беспокойство. Как отметил представитель Forescout, «Атакующий, получивший контроль над большим числом инверторов Sungrow, Growatt и SMA благодаря новым уязвимостям, может задействовать достаточную мощность для нарушения стабильности энергосистем, как местных, так и крупных национальных». Захваченные устройства могут быть объединены в ботнет, что способствует усилению атаки, изменению настроек инверторов и даже генерации аномальных потоков энергии в сеть, что грозит киберфизическими атаками с элементами вымогательства.
Рекомендации экспертов становятся особенно актуальными. Глава отдела исследований Forescout Vedere Labs, Дэниел дос Сантос, подчёркивает необходимость жёсткого соблюдения требований безопасности при закупке солнечного оборудования. Специалисты советуют регулярно проводить оценку рисков и поддерживать полную видимость сети для своевременного обнаружения аномальной активности.
Связанные инциденты безопасности затрагивают и другие области операционных технологий. Например, дефекты в японских камер наблюдения компании Inaba Denki Sangyo позволяют злоумышленникам осуществлять удалённое наблюдение за производственными линиями и даже нарушать фиксацию критических моментов остановок производства. Подобные уязвимости были обнаружены также в устройствах GE Vernova N60, промышленном шлюзе Zettler 130.8005 и программируемых логических контроллерах Wago 750-8216/025-001, что увеличивает потенциальные возможности для полного захвата контроля над процессами.
Обнаруженные уязвимости в солнечных инверторах демонстрируют, как недостаточная защита может негативно сказаться на стабильности современных энергетических систем и промышленных объектов. Привлечение внимания к этим проблемам подчёркивает важность непрерывного совершенствования мер безопасности и строгого контроля за эксплуатацией устройств, чья уязвимость способна вызвать масштабные киберфизические последствия.
Изображение носит иллюстративный характер
В инверторах SMA специалисты выявили возможность загрузки файлов с расширением.aspx на веб-сервер sunnyportal[.]com, что открывает путь для проведения атак с удалённым выполнением кода. Этот метод позволяет злоумышленникам получить контроль над устройствами и получить доступ к критически важной информации, что вызывает серьёзное беспокойство в отношении безопасности эксплуатации солнечных электростанций.
Исследования также показали, что продукция Growatt подвержена ряду серьезных уязвимостей. Через конечную точку можно выполнять неаутентифицированное перечисление имён пользователей, а доступ к endpoint позволяет получить списки установок и устройств, принадлежащих другим пользователям, что может привести к захвату устройств. Дополнительно, через сервер возможно неавторизованное получение серийного номера умного счётчика, а endpoint раскрывает возможность получения данных о зарядных станциях для электромобилей, энергетических показателях и конфигурационных параметрах, что может угрожать как информационной безопасности, так и физической целостности оборудования.
В устройствах Sungrow обнаружены несколько критичных недостатков: Android-приложение использует ненадёжный AES-ключ для шифрования данных, что позволяет злоумышленнику перехватывать и расшифровывать коммуникацию между мобильным приложением и iSolarCloud. Приложение также игнорирует ошибки сертификата, что увеличивает риск атак типа «адверсари-ин-зе-миддл». Помимо этого, уязвимость в веб-интерфейсе WiNet с наличием жестко заданного пароля позволяет злоумышленникам расшифровывать обновления прошивки, а ошибки в обработке MQTT-сообщений создают условия для удалённого выполнения кода или организации DoS-атак.
Потенциальное воздействие на энергетические сети вызывает серьёзное беспокойство. Как отметил представитель Forescout, «Атакующий, получивший контроль над большим числом инверторов Sungrow, Growatt и SMA благодаря новым уязвимостям, может задействовать достаточную мощность для нарушения стабильности энергосистем, как местных, так и крупных национальных». Захваченные устройства могут быть объединены в ботнет, что способствует усилению атаки, изменению настроек инверторов и даже генерации аномальных потоков энергии в сеть, что грозит киберфизическими атаками с элементами вымогательства.
Рекомендации экспертов становятся особенно актуальными. Глава отдела исследований Forescout Vedere Labs, Дэниел дос Сантос, подчёркивает необходимость жёсткого соблюдения требований безопасности при закупке солнечного оборудования. Специалисты советуют регулярно проводить оценку рисков и поддерживать полную видимость сети для своевременного обнаружения аномальной активности.
Связанные инциденты безопасности затрагивают и другие области операционных технологий. Например, дефекты в японских камер наблюдения компании Inaba Denki Sangyo позволяют злоумышленникам осуществлять удалённое наблюдение за производственными линиями и даже нарушать фиксацию критических моментов остановок производства. Подобные уязвимости были обнаружены также в устройствах GE Vernova N60, промышленном шлюзе Zettler 130.8005 и программируемых логических контроллерах Wago 750-8216/025-001, что увеличивает потенциальные возможности для полного захвата контроля над процессами.
Обнаруженные уязвимости в солнечных инверторах демонстрируют, как недостаточная защита может негативно сказаться на стабильности современных энергетических систем и промышленных объектов. Привлечение внимания к этим проблемам подчёркивает важность непрерывного совершенствования мер безопасности и строгого контроля за эксплуатацией устройств, чья уязвимость способна вызвать масштабные киберфизические последствия.
