Эксперты рассказали, как шлюзы для солнечных установок могут использоваться хакерами
18 февраля 2021 года
Уязвимости в шлюзах ConnectPort X2e позволяют получить доступ к домашним или корпоративным сетям.
Команда специалистов из ИБ-компании FireEye проанализировала шлюз для солнечных электростанций и выявила ряд уязвимостей, которые могут оказаться весьма полезными для злоумышленников.
Объектом изучения стало решение ConnectPort X2e производства Digi International, а точнее версия устройства предлагаемая компанией Tesla под брендом SolarCity. Для справки,Tesla приобрела производителя солнечных панелей SolarCity в 2016 году.
ConnectPort X2e представляет собой программируемый шлюз для домашних и небольших коммерческих солнечных установок, который, как правило, используется для считывания данных с солнечного инвертора и подключения к облачным приложениям.
В ходе исследования специалисты обнаружили две уязвимости (CVE-2020-9306 и CVE-2020-12878). Первая связана с наличием вшитых учетных данных, а вторая представляет собой уязвимость повышения привилегий, обе проблемы получили высокий уровень опасности.
Как пояснили в FireEye, атакующий с сетевым доступом к целевому устройству может проэксплуатировать вышеуказанные уязвимости, получить доступ с правами суперпользователя и перехватить контроль над устройством. Скомпрометировав шлюз, хакер может установить бэкдор и получить постоянный доступ к домашней или корпоративной сети.
Как правило, шлюз ConnectPort X2e защищен «местным» межсетевым экраном и осуществить удаленные атаки на него - сложная задача, за исключением случаев, когда пользователь намеренно открывает доступ к устройству из интернета.
Специалисты проинформировали Digi International и Tesla о найденных уязвимостях, проблемы уже исправлены. С более подробной технической информацией можно ознакомиться в отчете в двух частях .
Источники[править]
Эта статья содержит материалы из статьи «Эксперты рассказали, как шлюзы для солнечных установок могут использоваться хакерами», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.