تهدد نقاط الضعف المستغلة بشكل نشط مئات محطات الطاقة الشمسية

لا تزال المئات من الأجهزة المكشوفة للإنترنت داخل مزارع الطاقة الشمسية غير مثبتة ضد ثغرة أمنية حرجة ومستغلة بشكل نشط مما يجعل من السهل على المهاجمين عن بُعد تعطيل العمليات أو الحصول على موطئ قدم داخل المنشآت.

وتساعد الأجهزة ، التي تبيعها شركة Contec ومقرها اليابان تحت اسم العلامة التجارية SolarView في أوساكا ، الأشخاص داخل منشآت الطاقة الشمسية في مراقبة كمية الطاقة التي يولدونها ويخزنونها ويوزعونها. تقول شركة Contec إن ما يقرب من 30 ألف محطة طاقة قد أدخلت الأجهزة ، والتي تأتي في حزم مختلفة بناءً على حجم العملية ونوع المعدات التي تستخدمها.

تشير عمليات البحث في Shodan إلى أن أكثر من 600 منها يمكن الوصول إليها على شبكة الإنترنت المفتوحة. على الرغم من أن هذا التكوين يمثل مشكلة ، قال باحثون من شركة الأمن VulnCheck يوم الأربعاء ، فإن أكثر من ثلثيهم لم يثبتوا بعد تحديثًا يقوم بتصحيح CVE-2022-29303 ، وهو تعيين تتبع لثغرة أمنية مع تصنيف خطورة 9.8 من أصل 10. ينبع الخلل من الفشل في تحييد العناصر الخبيثة المحتملة المضمنة في المدخلات المقدمة من المستخدم ، مما يؤدي إلى هجمات عن بُعد تنفذ أوامر ضارة.

وقالت شركة Palo Alto Networks الأمنية الشهر الماضي ، إن الخلل كان قيد الاستغلال النشط من قبل مشغل Mirai ، وهو روبوت مفتوح المصدر يتكون من أجهزة توجيه وما يسمى بأجهزة إنترنت الأشياء. قد يؤدي اختراق هذه الأجهزة إلى فقدان المرافق التي تستخدمها الرؤية في عملياتها ، مما قد يؤدي إلى عواقب وخيمة اعتمادًا على مكان استخدام الأجهزة الضعيفة.

كتب الباحث في VulnCheck Jacob Baines: “حقيقة أن عددًا من هذه الأنظمة تواجه الإنترنت وأن الثغرات العامة كانت متاحة لفترة كافية لتتحول إلى متغير Mirai ليست حالة جيدة”. “كما هو الحال دائمًا ، يجب على المؤسسات أن تضع في اعتبارها الأنظمة التي تظهر في فضاء IP العام الخاص بها وتتبع مآثر العامة للأنظمة التي تعتمد عليها.”

قال Baines أن نفس الأجهزة المعرضة ل CVE-2022-29303 كانت أيضًا عرضة لـ CVE-2023-23333 ، وهي ثغرة أحدث لحقن الأوامر لها أيضًا تصنيف شدة 9.8. على الرغم من عدم وجود تقارير معروفة عن استغلالها بشكل نشط ، إلا أن رمز الاستغلال متاح للجمهور منذ فبراير.

قال بينز إن الأوصاف غير الصحيحة لكلا الثغرات الأمنية هي أحد العوامل المتضمنة في فشل التصحيح. تشير كلتا الثغرات الأمنية إلى أن إصدارات SolarView 8.00 و 8.10 مصححة مقابل CVE-2022-29303 و CVE-2023-293333. في الواقع ، قال الباحث ، تم تصحيح 8.10 فقط ضد التهديدات.

قالت Palo Alto Networks إن نشاط استغلال CVE-2022-29303 هو جزء من حملة واسعة استغلت 22 نقطة ضعف في مجموعة من أجهزة إنترنت الأشياء في محاولة لنشر متغير Marai. بدأت الهجمات في مارس وحاولت استخدام الثغرات لتثبيت واجهة shell التي تسمح بالتحكم في الأجهزة عن بُعد. بمجرد استغلاله ، يقوم الجهاز بتنزيل وتنفيذ عملاء الروبوتات التي تمت كتابتها لمختلف بنى Linux.

هناك مؤشرات على احتمال استهداف الثغرة الأمنية حتى قبل ذلك. أصبح رمز الاستغلال متاحًا منذ مايو 2022. يظهر هذا الفيديو من نفس الشهر مهاجمًا يبحث Shodan عن نظام SolarView ضعيف ثم يستخدم الثغرة ضده.

بينما لا توجد مؤشرات على أن المهاجمين يستغلون CVE-2023-23333 بنشاط ، إلا أن هناك العديد من الثغرات على GitHub.

لا توجد إرشادات على موقع Contec على الويب حول الثغرة الأمنية ولم يرد ممثلو الشركة على الفور على الأسئلة المرسلة عبر البريد الإلكتروني. يجب على أي مؤسسة تستخدم أحد الأجهزة المتأثرة التحديث في أسرع وقت ممكن. يجب على المؤسسات أيضًا التحقق لمعرفة ما إذا كانت أجهزتها معرضة للإنترنت ، وإذا كان الأمر كذلك ، فقم بتغيير تكويناتها لضمان إمكانية الوصول إلى الأجهزة على الشبكات الداخلية فقط.