全球數萬個太陽能光伏發電站所采用的太陽能發電監控系統曝出嚴重漏洞,遠程攻擊者目前正積極利用該漏洞破壞運營或在系統中駐留。
曝出漏洞的設備是日本大阪的Contec(康泰克)公司生產的SolarView太陽能發電監控系統,可幫助太陽能光伏電站內的人員監控產生、存儲和配電。Contec表示,全球大約3萬個發電站已經引進了這些設備,根據運營規模和使用的設備類型不同,SolarView設備提供不同的封裝形式。
Solar View此次共曝出兩個漏洞(CVE-2022-29303和CVE-2023-293333),嚴重性評分高達9.8,其中CVE-2022-29303是一個未經身份驗證的遠程命令注入漏洞,影響Contec SolarView系列。該漏洞源于未能消除用戶輸入中包含的惡意內容,攻擊者可執行惡意命令發動遠程攻擊。
(相關資料圖)
CVE-2022-29303影響Web服務器的conf_mail.php端點,但版本6.20(曝出漏洞的6.00版本之后的版本)并未修復該問題。不僅6.00版本受到影響,6.20也受到影響。研究人員發現至少從4.00版本conf_mail.php開始就存在非常直接的命令注入漏洞。
安全公司VulnCheck研究人員在Shodan上搜索發現,目前可通過開放互聯網訪問其中600多個光伏發電站(上圖)。研究人員指出,目前超過三分之二的使用Contec設備的光伏電站尚未安裝漏洞CVE-2022-29303的補丁更新。
安全公司Palo Alto Networks上個月曾透露,該漏洞正被Mirai的運營商積極利用,Mirai是一個由大量路由器和其他物聯網設備組成的開源僵尸網絡。Contec設備的漏洞可能會導致使用它們的光伏電站設施失去對運營的可見性,可能會導致嚴重后果,具體取決于易受攻擊的設備的部署位置。
VulnCheck研究員Jacob*Baines指出:“事實上,光伏電站的許多類似系統都是面向互聯網的,而且漏洞利用公開的時間已經足夠長,足以被納入Mirai變體中,這并不是一個好消息。光伏發電企業應注意哪些系統出現在公共IP空間中,并密切跟蹤其這些系統的公開漏洞。”
Baines表示,許多Solar View類似設備也容易受到漏洞CVE-2022-29303影響,后者是一種較新的命令注入漏洞,嚴重性評分高達9.8。自今年2月份以來,該漏洞的利用代碼已公開發布。
Baines指出,由于漏洞CVE-2022-29303和CVE-2023-293333的CVE描述有誤,導致很多光伏發電企業的漏洞修補失敗。這兩個漏洞的描述中聲稱SolarView 8.00和8.10版本都已修復漏洞,但事實上只有8.10版本針對上述兩個漏洞進行了修補。
Palo Alto Networks表示,對漏洞CVE-2022-29303的利用只是更大規模的攻擊活動的一部分。該活動利用了一系列物聯網設備中的22個漏洞,試圖傳播Marai變種。這些攻擊始于今年3月份,攻擊者試圖利用這些漏洞安裝shell接口遠程控制設備。一旦被利用,設備就會下載并執行為各種Linux架構編寫的bot客戶端。
有跡象表明漏洞CVE-2022-29303可能更早之前就已成為攻擊目標,其漏洞利用代碼自2022年5月起就已出現。當時有黑客在youtube上公布了用Shodan搜索并攻擊SolarView系統的視頻(下圖)。
對于第二個漏洞CVE-2023-23333,雖然沒有跡象表明攻擊者正在積極利用,但GitHub上已經發布了該漏洞的多個利用代碼。
截止發稿,Contec的官方網站上尚沒有關于這兩個漏洞的安全咨文,任何使用受影響設備的企業都應盡快更新(到Solar View 8.10版本)。光伏電站還應檢查存在漏洞的設備是否暴露在互聯網上,如果是,則需要更改其配置確保僅能從內網訪問這些設備。
