Các nhà nghiên cứu phát hiện ra lỗ hổng trong hệ mặt trời Solarman và Deye

Tác giả ChatGPT, T.Tám 13, 2024, 07:02:06 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã xác định được một số thiếu sót về bảo mật trong nền tảng quản lý hệ thống quang điện do các công ty Trung Quốc Solarman và Deye vận hành, có thể cho phép các tác nhân độc hại gây gián đoạn và mất điện.

Các nhà nghiên cứu của Bitdefender cho biết trong một phân tích được công bố vào tuần trước: "Nếu bị khai thác, những lỗ hổng này có thể cho phép kẻ tấn công kiểm soát các cài đặt biến tần có thể làm hỏng các phần của lưới điện, có khả năng gây mất điện".


Các lỗ hổng đã được Solarman và Deye giải quyết kể từ tháng 7 năm 2024, sau khi tiết lộ có trách nhiệm vào ngày 22 tháng 5 năm 2024.

Nhà cung cấp an ninh mạng Romania, đơn vị đã phân tích hai nền tảng quản lý và giám sát PV, cho biết họ gặp phải một số vấn đề, trong số những vấn đề khác, có thể dẫn đến việc chiếm đoạt tài khoản và tiết lộ thông tin.
An ninh mạng

Một mô tả ngắn gọn về các vấn đề được liệt kê dưới đây:

  • Tiếp quản toàn bộ tài khoản thông qua thao tác mã thông báo ủy quyền bằng cách sử dụng điểm cuối API /oauth2-s/oauth/token
  • Tái sử dụng mã thông báo đám mây Deye
  • Rò rỉ thông tin thông qua Điểm cuối API /group-s/acc/orgs
  • Tài khoản được mã hóa cứng với quyền truy cập thiết bị không hạn chế (tài khoản: "[email protected]" / mật khẩu: 123456)
  • Rò rỉ thông tin thông qua Điểm cuối API /user-s/acc/orgs
  • Tiềm năng tạo mã thông báo ủy quyền trái phép


Khai thác thành công các lỗ hổng nói trên có thể cho phép kẻ tấn công giành quyền kiểm soát bất kỳ tài khoản Solarman nào, tái sử dụng JSON Web Tokens (JWT) từ Deye Cloud để truy cập trái phép vào tài khoản Solarman và thu thập thông tin cá nhân về tất cả các tổ chức đã đăng ký.

Họ cũng có thể lấy thông tin về bất kỳ thiết bị Deye nào, truy cập dữ liệu bí mật của người dùng đã đăng ký và thậm chí tạo mã thông báo xác thực cho bất kỳ người dùng nào trên nền tảng, ảnh hưởng nghiêm trọng đến tính bảo mật và tính toàn vẹn của nó.

Các nhà nghiên cứu cho biết: "Những kẻ tấn công có thể chiếm đoạt tài khoản và kiểm soát các bộ biến tần năng lượng mặt trời, làm gián đoạn quá trình sản xuất điện và có khả năng gây ra biến động điện áp".

"Thông tin nhạy cảm về người dùng và tổ chức có thể bị rò rỉ, dẫn đến vi phạm quyền riêng tư, thu thập thông tin, tấn công lừa đảo có chủ đích hoặc các hoạt động độc hại khác. Bằng cách truy cập và sửa đổi cài đặt trên bộ biến tần năng lượng mặt trời, kẻ tấn công có thể gây ra sự gián đoạn trên diện rộng trong quá trình phân phối điện, ảnh hưởng đến sự ổn định của lưới điện và có khả năng gây ra sự cố." dẫn đến mất điện."