全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。
曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示,全球大约3万个发电站已经引进了这些设备,根据运营规模和使用的设备类型不同,SolarView设备提供不同的封装形式。
Solar View此次共曝出两个漏洞(CVE-2022-29303和CVE-2023-293333),严重性评分高达9.8,其中CVE-2022-29303是一个未经身份验证的远程命令注入漏洞,影响Contec SolarView系列。该漏洞源于未能消除用户输入中包含的恶意内容,攻击者可执行恶意命令发动远程攻击。
(相关资料图)
CVE-2022-29303影响Web服务器的conf_mail.php端点,但版本6.20(曝出漏洞的6.00版本之后的版本)并未修复该问题。不仅6.00版本受到影响,6.20也受到影响。研究人员发现至少从4.00版本conf_mail.php开始就存在非常直接的命令注入漏洞。
安全公司VulnCheck研究人员在Shodan上搜索发现,目前可通过开放互联网访问其中600多个光伏发电站(上图)。研究人员指出,目前超过三分之二的使用Contec设备的光伏电站尚未安装漏洞CVE-2022-29303的补丁更新。
安全公司Palo Alto Networks上个月曾透露,该漏洞正被Mirai的运营商积极利用,Mirai是一个由大量路由器和其他物联网设备组成的开源僵尸网络。Contec设备的漏洞可能会导致使用它们的光伏电站设施失去对运营的可见性,可能会导致严重后果,具体取决于易受攻击的设备的部署位置。
VulnCheck研究员Jacob*Baines指出:“事实上,光伏电站的许多类似系统都是面向互联网的,而且漏洞利用公开的时间已经足够长,足以被纳入Mirai变体中,这并不是一个好消息。光伏发电企业应注意哪些系统出现在公共IP空间中,并密切跟踪其这些系统的公开漏洞。”
Baines表示,许多Solar View类似设备也容易受到漏洞CVE-2022-29303影响,后者是一种较新的命令注入漏洞,严重性评分高达9.8。自今年2月份以来,该漏洞的利用代码已公开发布。
Baines指出,由于漏洞CVE-2022-29303和CVE-2023-293333的CVE描述有误,导致很多光伏发电企业的漏洞修补失败。这两个漏洞的描述中声称SolarView 8.00和8.10版本都已修复漏洞,但事实上只有8.10版本针对上述两个漏洞进行了修补。
Palo Alto Networks表示,对漏洞CVE-2022-29303的利用只是更大规模的攻击活动的一部分。该活动利用了一系列物联网设备中的22个漏洞,试图传播Marai变种。这些攻击始于今年3月份,攻击者试图利用这些漏洞安装shell接口远程控制设备。一旦被利用,设备就会下载并执行为各种Linux架构编写的bot客户端。
有迹象表明漏洞CVE-2022-29303可能更早之前就已成为攻击目标,其漏洞利用代码自2022年5月起就已出现。当时有黑客在youtube上公布了用Shodan搜索并攻击SolarView系统的视频(下图)。
对于第二个漏洞CVE-2023-23333,虽然没有迹象表明攻击者正在积极利用,但GitHub上已经发布了该漏洞的多个利用代码。
截止发稿,Contec的官方网站上尚没有关于这两个漏洞的安全咨文,任何使用受影响设备的企业都应尽快更新(到Solar View 8.10版本)。光伏电站还应检查存在漏洞的设备是否暴露在互联网上,如果是,则需要更改其配置确保仅能从内网访问这些设备。