Come si hackerano gli impianti fotovoltaici? Basta usare la password 123456. L'analisi di Bitdefender

Anche gli impianti per la generazione di energia da font rinnovabili non sono immuni agli attacchi. Bitdefender ha infatti scoperto alcune vulnerabilità sugli impianti Solarman e sulla piattaforma Deye che potrebbero permettere a un malintenzionato di modificare le impostazioni del sistema e causare black out.

Bitdefender individua gravi vulnerabilità su alcuni impianti fotovoltaici

Gli impianti fotovoltaici di Solarman non sono sicuri. O meglio, a non essere sicura è la piattaforma di gestione: secondo gli esperti di sicurezza di Bitdefender, infatti un attaccante potrebbe sfruttare questi problemi per prendere il totale controllo dell'account, avere accesso ai token di autenticazione e ai dati del sistema. 

Anche Deye, piattaforma per il controllo degli inverter fotovoltaici, non è sicura. In questo caso, il problema è decisamente grave: i ricercatori hanno infatti scoperto che è possibile accedere a qualsiasi inverter utilizzando la password "123456": a tutti gli effetti una sorta di back door (tale password è hard coded nel sistema, non può essere eliminata né modificata).

Secondo gli esperti, un utilizzo combinato di queste vulnerabilità permetterebbe a un malintenzionato di ottenere totale accesso alle impostazioni dell'inverter, che potrebbero venire modificate per causare un black out. 

Il problema non è di poco conto: Solarman è infatti una delle principali piattaforme per il monitoraggio e la gestione dei sistemi fotovoltaici. Si stima che i sistemi che dipendono da essa (più di 2 milioni!) generino ogni anno qualcosa come 195 gigawatt di energia.  

"Mentre la maggior parte delle nostre precedenti scoperte ha un impatto serio sull'individuo o su internet stesso, le vulnerabilità descritte in questa ricerca sono fondamentalmente diverse. L'accesso ai dispositivi che interagiscono con la rete può avere effetti devastanti sul corretto funzionamento della rete stessa", afferma il comunicato di Bitdefender.

Le vulnerabilità si Solarman rappresentano una minaccia significativa per la sicurezza della rete in diversi modi:

• Controllo non autorizzato: hli attaccanti possono prendere il controllo degli account e dei convertitori solari, interrompendo la generazione di energia e causando potenziali fluttuazioni di tensione.
• Violazioni dei dati: informazioni sensibili su utenti e organizzazioni possono essere divulgate, portando a violazioni della privacy, raccolta di informazioni, attacchi di phishing mirati o altre attività dannose.
• Interruzioni operative: accedendo e modificando le impostazioni dei convertitori solari, gli attaccanti possono causare diffuse interruzioni nella distribuzione di energia, influenzando la stabilità della rete e potenzialmente causando blackout.

Nel caso della piattaforma Deye, invece, sono questi i problemi scovati da Bitdefender: 

• Credenziali codificate: La piattaforma Deye utilizza un account codificato (SmartConfigurator@solarmanpv.com con password 123456) per accedere ai dati dei dispositivi. Questo account può ottenere un token di autorizzazione che consente l'accesso a qualsiasi dispositivo, esponendo informazioni sensibili come versioni del software, credenziali Wi-Fi e altro (vedi il rapporto di divulgazione di Deye disponibile di seguito).
• Fuga di informazioni: L'endpoint API /user-s/acc/orgs su eu1.deyecloud.com restituisce informazioni private eccessive sugli utenti, inclusi nomi, indirizzi email, numeri di telefono e ID utente. Questo endpoint può essere sfruttato per divulgare informazioni su tutti gli utenti della piattaforma.
• Generazione di token di autorizzazione: L'endpoint API /oauth-s/oauth/token ha la stessa vulnerabilità dell'endpoint utilizzato da Solarman. Tuttavia, il token JWT generato contiene un valore errato e non viene accettato dal server, anche se il token è valido e firmato. Questo problema potrebbe rappresentare un rischio futuro se non adeguatamente risolto.

Curioso, ma anche spaventoso, come in un mondo che punta sulle fonti di energia rinnovabili si possano vedere problemi tanto gravi. I bug sono inevitabili, così come non c'è da stupirsi se in alcuni casi configurazioni errate dei sistemi possono aprire la strada ai criminali informatici. Ma inserire un account codificato è un errore che nemmeno un dilettante dovrebbe fare. Soprattutto se la password è, come in questo caso, 123456. Che, come ricordava Mel Brooks già nel 1987, "è la password che un idiota userebbe per la valigia"