Pesquisadores de cibersegurança identificaram uma série de falhas de segurança em plataformas de gestão de sistemas fotovoltaicos operadas pelas empresas chinesas Solarman e Deye, que poderiam permitir que atores maliciosos causassem interrupções e apagões de energia.
"Se exploradas, essas vulnerabilidades poderiam permitir que um invasor controlasse as configurações dos inversores que poderiam desligar partes da rede, potencialmente causando apagões", disseram os pesquisadores da Bitdefender em uma análise publicada na semana passada.
As vulnerabilidades foram sanadas por Solarman e Deye até julho de 2024, após uma divulgação responsável em 22 de maio de 2024.
O fornecedor de cibersegurança romeno, que analisou as duas plataformas de monitoramento e gestão de PV, disse que elas sofrem de uma série de problemas que, entre outros, poderiam resultar na tomada de conta (account takeover) e na divulgação de informações.
Abaixo, uma breve descrição dos problemas:
- Tomada Completa de Conta via Manipulação de Token de Autorização Usando o ponto de acesso da API /oauth2-s/oauth/token
- Reutilização de Token do Cloud da Deye
- Vazamento de Informação através do ponto de acesso da API /group-s/acc/orgs
- Conta com Acesso Irrestrito a Dispositivo Pré-configurado (conta: "[email protected]" / senha: 123456)
- Vazamento de Informações através do ponto de acesso da API /user-s/acc/orgs
- Geração Potencial Não Autorizada de Token de Autorização
A exploração bem-sucedida das vulnerabilidades mencionadas poderia permitir que atacantes ganhassem controle sobre qualquer conta Solarman, reutilizassem JSON Web Tokens (JWTs) do Cloud da Deye para obter acesso não autorizado a contas Solarman e reunissem informações privativas sobre todas as organizações registradas.
Eles também poderiam obter informações sobre qualquer dispositivo Deye, acessar dados de usuários registrados confidenciais e até gerar tokens de autenticação para qualquer usuário na plataforma, comprometendo severamente sua confidencialidade e integridade.
"Atacantes podem tomar conta de contas e controlar inversores solares, perturbando a geração de energia e potencialmente causando flutuações de tensão", disseram os pesquisadores.
Informações sensíveis sobre usuários e organizações podem ser vazadas, levando a violações de privacidade, colheita de informações, ataques de phishing direcionados ou outras atividades maliciosas.
Ao acessar e modificar configurações em inversores solares, os atacantes podem causar interrupções amplas na distribuição de energia, impactando a estabilidade da rede e potencialmente levando a apagões.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...