Dezenas de vulnerabilidades em produtos de três dos principais fabricantes de inversores solares, Sungrow, Growatt e SMA, podem ser exploradas para controlar dispositivos ou executar código remotamente na plataforma de nuvem do fornecedor.
O impacto potencial dos problemas de segurança foi avaliado como severo, pois eles poderiam ser usados em ataques que poderiam, pelo menos, influenciar a estabilidade da rede e afetar a privacidade do usuário.
Em um cenário mais sombrio, as vulnerabilidades poderiam ser exploradas para interromper ou danificar redes de energia ao criar um desequilíbrio entre a geração de energia e a demanda.
Pesquisadores de segurança da Vedere Labs, o braço de pesquisa em cibersegurança da empresa de segurança de rede Forescout, encontraram 46 vulnerabilidades em inversores solares da Sungrow, Growatt e SMA - três dos seis maiores fabricantes do mundo.
O impacto potencial de algumas das vulnerabilidades é significativo, pois elas poderiam levar a acesso não autorizado a recursos em plataformas de nuvem, execução remota de código (RCE), tomada de controle do dispositivo, divulgação de informações, danos físicos e negação de serviço.
Das 46 questões descobertas, apenas uma,
CVE-2025-0731
, impacta os produtos da SMA.
Um atacante poderia usá-la para alcançar execução remota de código fazendo o upload de arquivos .ASPX que seriam executados pelo servidor web em sunnyportal.com - a plataforma da empresa para monitoramento de sistemas fotovoltaicos (PV).
Em um relatório hoje, a Forescout descreve como um atacante poderia usar as vulnerabilidades recém-divulgadas para sequestrar inversores Growatt e Sungrow.
Os pesquisadores dizem que tomar controle dos inversores Growatt é mais fácil "pois pode ser alcançado apenas através do backend da nuvem."
No entanto, eles observam que, embora o controle sobre o dispositivo não seja completo, um ator de ameaça tem acesso aos parâmetros de configuração do inversor e pode modificá-los.
Um atacante poderia enumerar sem autenticação nomes de usuários a partir de uma API Growatt exposta e então assumir contas explorando duas vulnerabilidades IDOR (insecure direct object references), ou roubar credenciais via injeção de JavaScript aproveitando dois problemas de XSS armazenados.
Com este tipo de acesso, um ator de ameaça "pode realizar operações nos dispositivos inversores conectados, como ligá-los ou desligá-los."
Os pesquisadores dizem que tomar controle dos inversores Sungrow é "levemente mais complexo" porque envolve múltiplos componentes vulneráveis da arquitetura do fornecedor:
Um atacante pode colher números de série dos dongles de comunicação do backend do fabricante através de várias IDORs, como
CVE-2024-50685
,
CVE-2024-50693
e
CVE-2024-50686
.
O atacante pode usar as credenciais MQTT codificadas (
CVE-2024-50692
) para publicar mensagens para um dongle de comunicação de inversor arbitrário, colocando o número de série correto no tópico.
O atacante pode explorar uma das vulnerabilidades de estouro de pilha
CVE-2024-50694
,
CVE-2024-50695
ou
CVE-2024-50698
(todos críticos), publicando mensagens elaboradas que levam à execução remota de código nos dongles de comunicação conectados ao inversor.
Os dois cenários de ataque acima consideram apenas um inversor residencial e um comercial, mas um atacante poderia seguir os mesmos passos para obter números de série de contas para uma frota de dispositivos gerenciados.
Com controle sobre uma frota inteira de inversores, um ataque a uma rede de energia poderia ser amplificado para níveis perigosos.
Um adversário poderia obter um efeito significativamente mais danoso controlando os dispositivos sequestrados como uma botnet em um ataque coordenado para reduzir a geração de energia dos inversores PV durante as horas de pico de produção, influenciando assim a carga na grade.
Os pesquisadores explicam que isso é alcançado "modulando a geração de energia dos inversores inversamente às tentativas do controle primário."
Além de interromper uma rede de energia, as vulnerabilidades divulgadas também podem ser exploradas em cenários que impactam a privacidade do usuário, sequestrando dispositivos inteligentes na casa que podem ser controlados através da plataforma de nuvem do fornecedor, ou até ataques de ransomware ao manter os dispositivos como reféns até que um resgate seja pago.
Os pesquisadores dizem que a Sungrow e a SMA corrigiram todas as vulnerabilidades relatadas, a primeira pedindo confirmação de que sua correção abordou os problemas e mostrando disposição para melhorar sua postura de segurança.
A Growatt também corrigiu os problemas e lançou as correções de uma maneira que não deveria envolver nenhuma modificação nos inversores, disseram os pesquisadores.
O relatório do Vedere Labs da Forescout mergulha mais fundo nos detalhes técnicos das vulnerabilidades e está disponível aqui [PDF].
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...