Des dizaines de vulnérabilités dans les produits de trois principaux fabricants d’onduleurs solaires, Sungrow, Growatt et SMA, pourraient être exploitées pour contrôler des appareils ou exécuter du code à distance sur la plate-forme cloud du fournisseur.
L’impact potentiel des problèmes de sécurité a été jugé grave car ils pourraient être utilisés dans des attaques qui pourraient au moins influencer la stabilité du réseau et affecter la confidentialité des utilisateurs.
Dans un scénario plus sombre, les vulnérabilités pourraient être exploitées pour perturber ou endommager les réseaux électriques en créant un déséquilibre entre la production d’électricité et la demande.
Détournement d’onduleurs photovoltaïques
Les chercheurs en sécurité de Vedere Labs, la branche de recherche en cybersécurité de la société de sécurité réseau Forescout, ont découvert 46 vulnérabilités dans les onduleurs solaires de Sungrow, Growatt et SMA – trois des six principaux fabricants au monde.
L’impact potentiel de certaines vulnérabilités est important car elles pourraient entraîner un accès non autorisé aux ressources des plates-formes cloud, l’exécution de code à distance (RCE), la prise de contrôle des appareils, la divulgation d’informations, des dommages physiques et un déni de service.
Sur les 46 problèmes découverts, un seul, CVE-2025-0731, affecte les produits SMA. Un attaquant pourrait l’utiliser pour exécuter du code à distance en le téléchargeant .Fichiers ASPX qui seraient exécutés par le serveur Web à sunnyportal.com -la plateforme de l’entreprise pour la surveillance des systèmes photovoltaïques (PV).
Dans un rapport publié aujourd’hui, Forescout décrit comment un attaquant pourrait utiliser les vulnérabilités nouvellement divulguées pour détourner les onduleurs Growatt et Sungrow.
Les chercheurs disent que prendre le contrôle des onduleurs Growatt est plus facile « car cela ne peut être réalisé que via le backend cloud. »
Cependant, ils notent que bien que le contrôle du périphérique ne soit pas complet, un acteur menaçant a accès aux paramètres de configuration de l’onduleur et peut les modifier.
Un attaquant pourrait énumérer les noms d’utilisateur sans authentification à partir d’une API Growatt exposée, puis s’emparer de comptes en exploitant deux vulnérabilités IDOR (références directes d’objets non sécurisées), ou voler des informations d’identification via une injection JavaScript en exploitant deux problèmes XSS stockés.
Avec ce type d’accès, un acteur menaçant « peut effectuer des opérations sur les périphériques onduleur connectés, comme l’allumer ou l’éteindre. »
Les chercheurs affirment que la prise de contrôle des onduleurs Sungrow est « légèrement plus complexe » car elle implique de multiples composants vulnérables de l’architecture du fournisseur:
- Un attaquant peut récupérer les numéros de série du dongle de communication à partir du backend du fabricant via divers identifiants tels que CVE-2024 – 50685, CVE-2024-50693 et CVE-2024-50686.
- L’attaquant peut utiliser les informations d’identification MQTT codées en dur (CVE-2024-50692) pour publier des messages pour un dongle de communication inverseur arbitraire en mettant le numéro de série correct dans la rubrique.
- L’attaquant peut exploiter l’une des vulnérabilités de débordement de pile CVE-2024-50694, CVE-2024-50695 ou CVE-2024-50698 (toutes critiques) en publiant des messages contrefaits qui conduisent à l’exécution de code à distance sur des dongles de communication connectés à l’onduleur.
Les deux scénarios d’attaque ci-dessus ne considèrent qu’un onduleur résidentiel et un onduleur commercial, mais un attaquant pourrait suivre les mêmes étapes pour obtenir les numéros de série des comptes d’une flotte d’appareils gérés.
Avec le contrôle de toute une flotte d’onduleurs, une attaque sur un réseau électrique pourrait être amplifiée à des niveaux dangereux.
« Chaque onduleur peut moduler sa production d’électricité dans la plage autorisée par les niveaux de production actuels des panneaux photovoltaïques. L’effet combiné des onduleurs détournés produit un effet important sur la production d’électricité dans le réseau » – Forescout Vedere Labs
Un adversaire pourrait obtenir un effet nettement plus dommageable en contrôlant les appareils détournés en tant que botnet lors d’une attaque coordonnée visant à réduire la production d’électricité des onduleurs photovoltaïques pendant les heures de pointe de production, influençant ainsi la charge sur le réseau.
Les chercheurs expliquent que ceci est réalisé en » modulant la production d’énergie des onduleurs inversement aux tentatives de la commande primaire. »
« Lorsque le contrôle primaire diminue la charge à sa capacité maximale, l’attaque réduira immédiatement toute sa charge, forçant le contrôle primaire à augmenter la charge dans le système, suivie d’une augmentation immédiate de la charge par l’attaque » – Forescout Vedere Labs
En plus de perturber un réseau électrique, les vulnérabilités divulguées peuvent également être exploitées dans des scénarios qui ont un impact sur la confidentialité des utilisateurs, en détournant des appareils intelligents dans la maison qui peuvent être contrôlés via la plate-forme cloud du fournisseur, ou même des attaques de ransomware en retenant les appareils en otage jusqu’à ce qu’une rançon soit payée.
Les chercheurs disent que Sungrow et SMA ont corrigé toutes les vulnérabilités signalées, les premiers demandant la confirmation que leur correctif résolvait les problèmes et montrant une volonté d’améliorer leur posture de sécurité.
Growatt a également corrigé les problèmes et publié les correctifs d’une manière qui ne devrait impliquer aucune modification des onduleurs, ont déclaré les chercheurs.