Investigadores de ciberseguridad han identificado 46 nuevas vulnerabilidades en inversores solares de tres fabricantes líderes: Sungrow, Growatt y SMA. Estos fallos de seguridad podrían permitir que atacantes malintencionados tomen el control de los dispositivos, ejecuten código de manera remota y, en consecuencia, representen una amenaza significativa para la estabilidad de las redes eléctricas.
SUN:DOWN: Las Vulnerabilidades Críticas en Inversores Solares
Las fallas de seguridad han sido agrupadas bajo la denominación SUN:DOWN por Forescout Vedere Labs. Según la investigación, los atacantes podrían explotar estas vulnerabilidades para:
- Ejecutar comandos arbitrarios en los dispositivos o en la nube del proveedor.
- Secuestrar cuentas de usuarios y obtener acceso a información confidencial.
- Asegurar presencia en la infraestructura del proveedor y manipular la configuración de los inversores.
Principales Vulnerabilidades Descubiertas
1. Ejecución Remota de Código en SMA
Los atacantes pueden cargar archivos
1 | .aspx |
en el servidor web de SMA (sunnyportal[.]com), lo que permite ejecutar código malicioso en el sistema. Esta vulnerabilidad expone el servidor a posibles ataques de control remoto.
2. Exposición de Información en Growatt
- Enumeración de nombres de usuario: A través del endpoint
1server.growatt.com/userCenter.do
, un atacante puede listar los nombres de usuario sin autenticación previa.
- Acceso a información de plantas solares y dispositivos: A través del punto
1server-api.growatt.com/newTwoEicAPI.do
, los atacantes pueden acceder a listas de plantas y dispositivos de otros usuarios.
- Obtención de números de serie de medidores inteligentes: Con un nombre de usuario válido, es posible extraer datos sensibles mediante
1server-api.growatt.com/newPlantAPI.do
.
- Explotación de cargadores de vehículos eléctricos: La API
1evcharge.growatt.com/ocpp
permite a atacantes acceder a información sobre consumo energético y modificar configuraciones de cargadores eléctricos.
3. Riesgos en la Aplicación de Sungrow
- Clave AES insegura: La app de Sungrow usa una clave de cifrado vulnerable, lo que permite a un atacante interceptar y descifrar comunicaciones entre la aplicación móvil y iSolarCloud.
- Ataques de intermediario (MitM): La app ignora errores de certificado, lo que la hace vulnerable a interceptaciones maliciosas.
- Contraseñas codificadas en WiNet: La interfaz web WiNet de Sungrow contiene una contraseña incrustada que permite descifrar todas las actualizaciones de firmware.
- Mensajes MQTT inseguros: Diversas fallas en el manejo de mensajes MQTT pueden derivar en ejecución remota de código o ataques de denegación de servicio (DoS).
Impacto en la Seguridad de las Redes Eléctricas
Si un atacante lograra comprometer un gran número de inversores de Sungrow, Growatt y SMA, podría manipular la producción de energía a gran escala. Esto representaría un riesgo crítico para la estabilidad del suministro eléctrico, provocando apagones o alteraciones en la red.
Ejemplo de Ataque a Inversores Growatt
- Un atacante usa una API expuesta para enumerar nombres de usuario.
- Luego, secuestra cuentas restableciendo las contraseñas a una predeterminada (
1123456
).
- Con una flota de dispositivos comprometidos, el atacante los usa como una botnet para realizar un ataque coordinado contra la red.
Afortunadamente, los fabricantes han solucionado estas vulnerabilidades tras una divulgación responsable por parte de Forescout. No obstante, estos incidentes subrayan la necesidad de controles de seguridad más estrictos en dispositivos IoT y sistemas de energía renovable.
Recomendaciones para Proteger la Infraestructura Solar
Según Daniel dos Santos, jefe de investigación en Forescout Vedere Labs, es crucial aplicar medidas de seguridad proactivas, como:
- Evaluaciones periódicas de riesgos en sistemas solares conectados.
- Aplicación de estrictos requisitos de seguridad al adquirir equipos solares.
- Monitoreo continuo de la red para detectar accesos no autorizados.
- Uso de contraseñas seguras y autenticación multifactor en dispositivos críticos.
- Restricción del acceso a servicios en la nube cuando no sea estrictamente necesario.
Nuevas Amenazas en Dispositivos Industriales
El informe de Forescout surge en un contexto en el que se han descubierto múltiples vulnerabilidades en dispositivos industriales conectados a Internet.
Fallas de Seguridad en Cámaras de Monitoreo de Inaba Denki Sangyo
Se han detectado graves fallas en cámaras de monitoreo de producción fabricadas por la empresa japonesa Inaba Denki Sangyo. Estas vulnerabilidades pueden ser explotadas para:
- Acceder a transmisiones en vivo de forma remota y sin autorización.
- Interrumpir grabaciones de producción, impidiendo la detección de incidentes.
Dado que estas fallas aún no han sido corregidas, el fabricante ha recomendado restringir el acceso a Internet y reforzar la seguridad perimetral en entornos industriales.
Otras Vulnerabilidades en Infraestructura Crítica
En los últimos meses, se han identificado fallas en dispositivos OT (tecnología operativa), tales como:
- Relé de red GE Vernova N60
- Puerta de enlace industrial Zettler 130.8005
- Controlador lógico programable (PLC) Wago 750-8216/025-001
Estos dispositivos, utilizados en infraestructuras críticas y sistemas de automatización, podrían ser explotados por atacantes para tomar control de operaciones industriales.
En conclusión, el descubrimiento de las vulnerabilidades SUN:DOWN subraya la urgente necesidad de mejorar la seguridad en dispositivos de energía renovable. Con el crecimiento del mercado de inversores solares y sistemas IoT industriales, garantizar la protección de estos sistemas se vuelve una prioridad estratégica para gobiernos y empresas.
La implementación de auditorías de seguridad, controles de acceso y cifrado robusto puede ayudar a mitigar los riesgos asociados con estos dispositivos. A medida que los ataques cibernéticos evolucionan, la protección de infraestructuras energéticas y redes eléctricas debe ser una prioridad global.
Fuente: The Hacker News
