光伏電網(wǎng)曝出高危漏洞，可導(dǎo)致全球停電

網(wǎng)絡(luò)安全公司Bitdefender近日披露了兩大廣泛使用的太陽(yáng)能管理平臺(tái)中的重大安全漏洞，攻擊者可造成大規(guī)模停電并破壞電力分配系統(tǒng)，可能影響全球20%的光伏發(fā)電，涉及190多個(gè)國(guó)家和地區(qū)的200多萬(wàn)個(gè)光伏電站。

可導(dǎo)致全球范圍停電

根據(jù)Bitdefender發(fā)布的新報(bào)告，這些漏洞存在于Solarman和Deye這兩大平臺(tái)中。Solarman是一個(gè)主要的光伏(PV)電站管理平臺(tái)，而Deye則是一個(gè)太陽(yáng)能逆變器平臺(tái)。這兩個(gè)平臺(tái)相互連接，一旦漏洞被利用，攻擊者可能會(huì)控制逆變器設(shè)置，從而導(dǎo)致全球范圍內(nèi)的停電和電力分配中斷。

Solarman的平臺(tái)管理著全球數(shù)百萬(wàn)個(gè)光伏裝置，覆蓋全球200多萬(wàn)個(gè)光伏電站約195吉瓦的光伏發(fā)電量。該平臺(tái)的API架構(gòu)存在各種攻擊風(fēng)險(xiǎn)，包括賬戶完全接管、跨平臺(tái)令牌重用和數(shù)據(jù)過(guò)度暴露。

Deye的逆變器平臺(tái)連接到Solarman的基礎(chǔ)設(shè)施，同樣存在硬編碼憑證、信息泄露和授權(quán)令牌生成缺陷等漏洞。

研究者指出，如果這些漏洞被攻擊者利用，可獲得對(duì)太陽(yáng)能逆變器的控制權(quán)，修改設(shè)置并導(dǎo)致電網(wǎng)不穩(wěn)定。此外，攻擊者還可能獲取敏感信息，包括用戶數(shù)據(jù)、組織信息和太陽(yáng)能裝置信息。

漏洞披露與修復(fù)措施

Bitdefender已經(jīng)負(fù)責(zé)任地向受影響的供應(yīng)商披露了這些漏洞，并且供應(yīng)商已經(jīng)實(shí)施了修復(fù)措施。然而，研究人員仍然敦促光伏發(fā)電設(shè)備用戶和合作伙伴確保他們運(yùn)行的是最新的軟件版本，以保障Solarman和Deye平臺(tái)的安全。

隨著太陽(yáng)能等可再生能源越來(lái)越多地并入電網(wǎng)，網(wǎng)絡(luò)安全的重要性日益凸顯。Bitdefender指出：“將太陽(yáng)能整合到電網(wǎng)中帶來(lái)了巨大的好處，但也引入了需要設(shè)備制造商重視的攻擊面。Deye和Solarman平臺(tái)中的安全漏洞突顯了太陽(yáng)能系統(tǒng)以及其他物聯(lián)網(wǎng)設(shè)置迫切需要強(qiáng)大的網(wǎng)絡(luò)安全措施?！?/span>

這項(xiàng)研究將在2024年8月9日的網(wǎng)絡(luò)安全會(huì)議Defcon 32上公布。