Pesquisadores de segurança cibernética identificaram uma série de deficiências de segurança em plataformas de gerenciamento de sistemas fotovoltaicos operadas pelas empresas chinesas Solarman e Deye, que podem permitir que agentes mal-intencionados causem interrupções e apagões de energia.
“Se exploradas, essas vulnerabilidades podem permitir que um invasor controle as configurações do inversor, o que pode derrubar partes da rede, potencialmente causando apagões”, disseram pesquisadores da Bitdefender em uma análise publicada na semana passada.
As vulnerabilidades foram corrigidas pela Solarman e Deye em julho de 2024, após divulgação responsável em 22 de maio de 2024.
O fornecedor romeno de segurança cibernética, que analisou as duas plataformas de monitoramento e gerenciamento de energia fotovoltaica, disse que elas sofrem de uma série de problemas que, entre outros, podem resultar em invasão de contas e divulgação de informações.
Uma breve descrição dos problemas está listada abaixo –
- Aquisição whole de conta por meio da manipulação de token de autorização usando o ponto de extremidade da API /oauth2-s/oauth/token
- Reutilização do Token Deye Cloud
- Vazamento de informações através do ponto de extremidade da API /group-s/acc/orgs
- Conta codificada com acesso irrestrito ao dispositivo (conta: “SmartConfigurator@solarmanpv.com” / senha: 123456)
- Vazamento de informações através do endpoint da API /user-s/acc/orgs
- Potencial geração de token de autorização não autorizado
A exploração bem-sucedida das vulnerabilidades mencionadas acima pode permitir que invasores obtenham controle sobre qualquer conta Solarman, reutilizem JSON Internet Tokens (JWTs) da Deye Cloud para obter acesso não autorizado às contas Solarman e coletem informações privadas sobre todas as organizações registradas.
Eles também poderiam obter informações sobre qualquer dispositivo Deye, acessar dados confidenciais de usuários registrados e até mesmo gerar tokens de autenticação para qualquer usuário na plataforma, comprometendo severamente sua confidencialidade e integridade.
“Os invasores podem assumir contas e controlar inversores solares, interrompendo a geração de energia e potencialmente causando flutuações de voltagem”, disseram os pesquisadores.
“Informações sensíveis sobre usuários e organizações podem vazar, levando a violações de privacidade, coleta de informações, ataques de phishing direcionados ou outras atividades maliciosas. Ao acessar e modificar configurações em inversores solares, os invasores podem causar interrupções generalizadas na distribuição de energia, impactando a estabilidade da rede e potencialmente levando a apagões.”
