太阳能发电系统存在重大漏洞,若不修补恐导致大规模停电
支付動態 · 2024-08-08

资安业者Bitdefender揭露Solarman太阳能发电监控系统、宁波德业(Deye)逆变器的漏洞,并指出这些漏洞影响范围相当广泛,至少涵盖全球五分之一的太阳能发电系统

随着国际局势日趋紧张,黑客针对关键基础设施下手的情况越来越常见,这类设施的安全也得到更大的重视。最近有研究人员发现,特定厂牌的太阳能发电(PV)系统存在弱点,一旦攻击者对其下手,后果将不堪设想。

资安业者Bitdefender发现Solarman的太阳能发电监控平台、宁波德业(Deye)的逆变器存在漏洞,采用这些设备的太阳能发电系统横跨全球逾190个国家、多达1千万个发电设备,能够产生195千兆瓦的电力,占全球太阳能发电五分之一,一旦相关漏洞遭到利用,攻击者就有机会瘫痪电网,从而导致停电。对此,两家供应商在接获通报后,皆着手修补。研究人员也将于DEF CON 32资安会议上,展示他们的研究成果。

单就Solarman而言,这家厂商不只生产相关监控系统,也授权其他厂商生产部分发电基础设施,而且,也有Solarman监控系统搭配其他厂牌逆变器的发电系统,因此漏洞影响范围将超过上述规模。

大致而言,Bitdefender发现的资安漏洞,与凭证(Token)的管理不当,以及发送过多用户信息导致的数据外泄有关。

他们发现Solarman平台有3项漏洞,其中一个是可用来接管帐号的弱点,与OAuth身分验证有关的API端点可被用来为任意用户产生适用凭证,攻击者可借由JSON有效酬载来控制特定的用户帐号,进而窜改逆变器的配置而宁波德业的设备也存在相同的弱点。

另一个则是凭证重复使用的情况,研究人员发现由宁波德业云端平台签章的凭证,竟然也能在Solarman使用,并能完全存取相同ID的用户帐号,若是用户并未采取相关隔离措施,这种情况有可能导致广泛的未经授权存取。

Solarman平台的第三个漏洞,则是在API端点回传过多企业组织信息的情况,而有可能曝露电子邮件信箱及电话号码等个资,攻击者可试图收集相关信息用于后续攻击,甚至串连前述可接管帐号的漏洞,掌握太阳能发电设备的地理位址与产生电力的能力。

至于宁波德业的设备资安漏洞,不只是前述接管帐号的弱点,还包含其他两项漏洞。其中一个是帐密写死弱点,攻击者可借由特定帐号得到相关凭证,并能对所有设备进行存取。

另一个则是在特定的API端点上,研究人员发现回传过多用户个资的情况,而能用来泄露相关数据。

热门文章
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
英国确认各垂直行业的赌博税税率
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
BETFAIR 网络攻击80万用户资料泄露
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
首页
游戏
合作
发现
我的