Mais de 130.000 sistemas de monitoramento de energia solar expostos online
6 de Julho de 2023

Pesquisadores de segurança estão alertando que dezenas de milhares de sistemas de monitoramento e diagnóstico de energia fotovoltaica (PV) são acessíveis pela internet pública, tornando-os alvos potenciais para hackers.

Esses sistemas são usados para monitoramento remoto de desempenho, resolução de problemas, otimização do sistema e outras funções que permitem o gerenciamento remoto de unidades de produção de energia renovável.

Os analistas de ameaças da Cyble escanearam a web em busca de utilitários PV expostos à internet e encontraram 134.634 produtos de vários fornecedores, que incluem Solar-Log, Danfoss Solar Web Server, SolarView Contec, SMA Sunny Webbox, SMA Cluster Controller, SMA Power Reducer Box, Kaco New Energy & Web, Fronis Datamanager, Saj Solar Inverter e ABB Solar Inverter Web GUI.

É importante ressaltar que os ativos expostos não são necessariamente vulneráveis ou mal configurados de forma que permita que os atacantes interajam com eles.

No entanto, a pesquisa da Cyble mostra que visitantes não autenticados podem obter informações, incluindo configurações, que poderiam ser usadas para lançar um ataque.

O relatório também destaca que foram encontradas e relatadas vulnerabilidades nos produtos mencionados acima e há códigos de exploração de prova de conceito (PoC) disponíveis para vários deles, o que aumenta a probabilidade de ataques contra os sistemas que executam uma versão de firmware mais antiga.

Mesmo quando os sistemas de controle PV estão adequadamente protegidos, a Cyble aponta o risco de malware de roubo de informações que pode coletar logins para essas ferramentas.

Aproveitar vulnerabilidades nos sistemas PV encontrados pela Cyble expostos online vem acontecendo recentemente, com hackers escaneando a web em busca de dispositivos vulneráveis para adicioná-los a botnets.

Por exemplo, a CVE-2022-29303 , uma vulnerabilidade de injeção de comando remoto não autenticada que afeta o sistema SolarView da Contec, foi usada por uma variante relativamente nova do Mirai em busca de sistemas novos para expandir seu poder de negação de serviço distribuído (DDoS).

As varreduras da Cyble encontraram 7.309 dispositivos SolarView expostos à internet globalmente, enquanto outro relatório da VulnCheck descobriu hoje 425 instâncias do SolarView da Contec que usam uma versão vulnerável do firmware.

O relatório da VulnCheck também destaca outro bug recentemente descoberto de execução de código remoto não autenticada que afeta o mesmo produto, rastreado como CVE-2023-23333 , para o qual existem múltiplos exploits disponíveis no espaço público.

Sistemas desse tipo muitas vezes sofrem negligência em termos de manutenção e atualizações, o que dá aos atacantes boas chances de sucesso quando exploram vulnerabilidades bastante recentes.

Se os administradores de sistemas PV precisarem expor as interfaces para gerenciamento remoto, eles devem pelo menos usar credenciais fortes e exclusivas, ativar a autenticação de múltiplos fatores quando disponível e manter seus sistemas atualizados.

A segregação do equipamento em sua própria rede também conta como uma boa defesa.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...