Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Serią podatności mógł kontrolować nawet kilkanaście gigawatów mocy generowanej przez panele solarne (*) na całym świecie. To moc porównywalna z wytwarzaną przez kilka elektrowni atomowych.
Podatne było oprogramowanie służące zarządzaniu swoją instalacją solarną (od firmy Enphase systems). Sama firma chwali się że obsługuje 4 miliony instalacji solarnych w 150 krajach.
Badacz testowo zakupił dwa inwertery i… pokazał jak mając dostęp do administratora jednego z nich, może wykonywać operacje na zupełnie innym koncie. Zakładam, że mogło chodzić o złośliwe zmiany parametrów w pewnej aplikacji (np. chmurowej), co umożliwiło dostęp na dowolnego użytkownika (admina).
W oryginale:
To test this, he purchased two systems from Enphase and created two administrator accounts. It turned out that his first account could also control his second account, without his permission. 'Then I created twenty other accounts and had them all controlled from the first account. To really get confirmation.
Dodatkowo po analizie firmware urządzenia udało się zlokalizować 6 podatności, z czego trzy połączone dawały możliwość nieuwierzytelnionego wykonywania kodu (RCE) na urządzeniu Enphase IQ Gateway. Warunek – panel webowy urządzenia musiał być wystawiony do Internetu.
Nota bene: patrząc na opis tych podatności, można by dojść do wniosku, że prawdopodobnie system nie przeszedł żadnych gruntownych testów bezpieczeństwa. Po zgłoszeniu problemów, najpoważniejsza podatność została załatana w mniej niż 24 godziny
Kontrolujesz / monitorujesz swoją solarną farmę z Internetu? Warto zapewnić połączenie do tego panelu z wykorzystaniem VPNa (jednocześnie niewiele poradzimy na ew. luki w systemach scentralizowanych, do których logujemy się z dowolnego miejsca).
(*) Zgrubne szacunki mocy podaję za mediami zachodnimi. Przy czym warto wspomnieć, że skoordynowane włączenie / wyłączenie dużej liczby instalacji solarnych mogłoby potencjalnie naruszyć stabilność całej sieci energetycznej.
Dotknięta firma wskazuje, że gdyby doszło do próby faktycznego sabotażu, uruchomiłyby się inne „bezpieczniki”, które zablokowałyby naruszenie.
~ms