【ITBEAR】8月10日消息,近期,網(wǎng)絡(luò)安全公司Bitdefender發(fā)布了一份重要報(bào)告,揭示了寧波德業(yè)(Deye)公司生產(chǎn)的太陽能逆變器系統(tǒng)存在一系列嚴(yán)重安全漏洞。這些漏洞一旦被黑客利用,可能對(duì)地區(qū)電網(wǎng)的穩(wěn)定性造成重大影響,甚至引發(fā)大規(guī)模的電力中斷或基礎(chǔ)設(shè)施過載爆炸事故,后果不堪設(shè)想。
報(bào)告顯示,寧波德業(yè)公司的太陽能逆變器系統(tǒng)在全球190多個(gè)國家廣泛應(yīng)用,覆蓋了多達(dá)1000萬座發(fā)電設(shè)施,合計(jì)發(fā)電量可達(dá)19.5億千瓦,這一數(shù)字占據(jù)了全球太陽能發(fā)電總量的五分之一,顯示出其市場占有率的龐大以及對(duì)全球能源供應(yīng)的潛在影響。
據(jù)ITBEAR了解,Bitdefender發(fā)現(xiàn)的漏洞主要與多項(xiàng)憑據(jù)(Token)管理不當(dāng)密切相關(guān)。黑客可以通過至少四種途徑獲取逆變器系統(tǒng)的最高管理權(quán)限,進(jìn)而篡改逆變器的配置。具體漏洞包括:OAuth身份驗(yàn)證漏洞,允許攻擊者為任意用戶生成有效憑證,接管用戶賬戶;憑證重復(fù)使用漏洞,意味著在一家公司平臺(tái)上簽署的憑證能在另一家公司平臺(tái)上使用,增加了黑客攻擊的范圍;過度信息暴露問題,平臺(tái)的某些API端點(diǎn)泄露了過多的企業(yè)組織信息,如電子郵件地址和電話號(hào)碼,便于黑客實(shí)施社交工程攻擊;以及硬編碼賬號(hào)問題,設(shè)備內(nèi)部存在一個(gè)擁有最高權(quán)限但密碼無法修改的硬編碼賬號(hào),為黑客提供了直接訪問所有設(shè)備的途徑。
Bitdefender強(qiáng)調(diào),這些漏洞的曝光凸顯了關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全方面的薄弱環(huán)節(jié),尤其是像太陽能發(fā)電系統(tǒng)這樣容易被忽視的領(lǐng)域。為防止?jié)撛诘暮诳凸?,相關(guān)廠商和用戶必須立即采取行動(dòng),修補(bǔ)漏洞并加強(qiáng)安全防護(hù)措施。幸運(yùn)的是,Bitdefender已將相關(guān)漏洞報(bào)告給寧波德業(yè)公司,而德業(yè)公司也已迅速響應(yīng),采取措施修補(bǔ)了這些漏洞,有效降低了潛在的安全風(fēng)險(xiǎn)。