Les chercheurs en sécurité avertissent que des dizaines de milliers de systèmes de surveillance et de diagnostic photovoltaïques (PV) sont accessibles sur le Web public, ce qui en fait des cibles potentielles pour les pirates.
Ces systèmes sont utilisés pour la surveillance à distance des performances, le dépannage, l’optimisation du système et d’autres fonctions permettant la gestion à distance des unités de production d’énergie renouvelable.
Informations sensibles exposées
Les analystes des menaces de Cyble ont scanné le Web à la recherche de services photovoltaïques exposés à Internet et ont trouvé 134 634 produits de divers fournisseurs, dont Solar-Log, Danfoss Solar Web Server, SolarView Contec, SMA Sunny Webbox, SMA Cluster Controller, SMA Power Reducer Box, Kaco New Energy & Web, Fronis Datamanager, Saj Solar Inverter et ABB Solar Inverter Web GUI.
Il est important de noter que les actifs exposés ne sont pas nécessairement vulnérables ou mal configurés de manière à permettre aux attaquants d’interagir avec eux.
Cependant, les recherches de Cyble montrent que les visiteurs non authentifiés peuvent glaner des informations, y compris des paramètres, qui pourraient être utilisées pour monter une attaque.
Le rapport souligne également que des vulnérabilités ont été trouvées et signalées pour les produits ci-dessus et qu’il existe un code d’exploitation de preuve de concept (PoC) disponible pour plusieurs d’entre eux, ce qui augmente la probabilité d’attaques contre les systèmes exécutant une ancienne version de micrologiciel.
Même lorsque les systèmes de contrôle PV sont correctement sécurisés, Cyble souligne le risque de logiciels malveillants voleurs d’informations qui peuvent collecter des identifiants pour ces outils.
Exploitation active
L’exploitation des vulnérabilités des systèmes photovoltaïques que Cyble a trouvées exposées en ligne s’est produite récemment, les pirates analysant le Web à la recherche d’appareils vulnérables pour les ajouter aux botnets.
Par exemple, CVE-2022-29303, une vulnérabilité d’injection de commande à distance non authentifiée affectant le système SolarView de Contec, a été utilisée par une variante Mirai relativement nouvelle à la recherche de nouveaux systèmes pour accroître sa puissance de déni de service distribué (DDoS).
Les analyses de Cyble ont trouvé 7 309 appareils SolarView exposés à Internet dans le monde, tandis qu’un autre rapport de VulnCheck a découvert aujourd’hui 425 instances de SolarView de Contec qui utilisent une version de micrologiciel vulnérable.
Le rapport de VulnCheck met également en évidence un autre bogue d’exécution de code à distance non authentifié récemment découvert affectant le même produit, suivi comme CVE-2023-23333, pour lequel plusieurs exploits existent dans l’espace public.
Les systèmes de ce type font souvent face à un certain degré de négligence en termes de maintenance et de mises à niveau, ce qui donne aux attaquants de bonnes chances de succès lorsqu’ils exploitent des vulnérabilités assez récentes.
Si les administrateurs de systèmes PV ont besoin d’exposer les interfaces pour la gestion à distance, ils doivent au moins utiliser des informations d’identification fortes et uniques, activer l’authentification multifacteur lorsqu’elle est disponible et maintenir leurs systèmes à jour. Séparer l’équipement de son propre réseau compte également comme une bonne défense.