Tientallen beveiligingslekken in populaire omvormers zonnepanelen ontdekt
Onderzoekers hebben in verschillende populaire omvormers voor zonnepanelen tientallen beveiligingslekken ontdekt waardoor het in theorie mogelijk zou zijn geweest om het elektriciteitsnet aan te vallen, zo claimt securitybedrijf Forescout dat de problemen identificeerde. Het gaat in totaal om 46 kwetsbaarheden in producten van Sungrow, Growatt en SMA. De fabrikanten hebben inmiddels updates uitgebracht om de beveiligingslekken te verhelpen.
In het geval van SMA ging het om één beveiligingslek. Het bleek mogelijk om .aspx-bestanden naar de webserver van sunnyportal.com te uploaden, wat leidde tot remote code execution op het cloudplatform van de fabrikant. Bij de andere twee fabrikanten bleek het mogelijk om door middel van Insecure Direct Object Reference (IDOR)-kwetsbaarheden, buffer overflows, cross-site scripting en informatielekken om de instellingen van de omvormers aan te passen. Hierdoor zou een aanvaller bijvoorbeeld stroompieken kunnen genereren, wat in theorie tot een blackout zou kunnen leiden, aldus de onderzoekers.
Forescout waarschuwde de drie fabrikanten en stelt dat SMA en Sungrow voortvarend en snel reageerden. In het geval van Growatt duurde het proces veel langer, zo staat in het onderzoeksrapport (pdf). Een aantal van de kwetsbaarheden vereist geen actie van eigenaren van de betreffende omvormers. In het geval van beveiligingslekken in de WiNet-S communicatiedongel van Sungrow moeten gebruikers de laatste update zelf installeren. Sungrow en SMA kwamen zelf ook met advisories over de problemen.
Waarom kan er überhaupt een .aspx file geüpload worden? Is geen plaatje ofzo...
TheYOSH
Waarom ben ik nou totaal niet verbaasd?
Verder: de zut moet natuurlijk aan internet. Want makkelijk enzo. Die Chinese fabrikant kan er echt niet bij. Want er staat een paasword op. Ofzo.
Bij hangt er geen omvormer aan het internet.
Ik vraag me af of jij iemand bent die zelf een huis met zonnepanelen heeft, of een scholier met een mening .
Afgezien van kekke grafiekjes : inmiddels is de (teruglever) stroomprijs erg dynamisch geworden .
Op zonnige dagen kan dat negatief zijn .
Oftewel : je moet geld BETALEN als je je panelen aan laat staan.
Dus.... automatisch uitzetten als de teruglever-prijs onder nul gaat ?
Succes met je offline omvormer.
De gevorderde heel kleine energieleverancier gaat all-in met een huisbatterij, en (natuurlijk) een outsourced bedrijf die daaruit gaat terugleveren als de prijs hoog is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
