FireEye Mandiant scopre due vulnerabilità sui dispositivi IoT degli impianti solari residenziali
di Alberto Falchi pubblicata il 18 Febbraio 2021, alle 15:41 nel canale Security
La falla è stata rilevata sui dispositivi ConnectPort X2e di Digi International e le versioni rimarchiate, come SolarCity (Tesla). Le due aziende hanno collaborato coi ricercatori di Mandiant per risolvere il problema
I ricercatori del Red Team di Mandiant (FireEye) hanno scoperto delle vulnerabilità in alcuni impianti solari residenziali. La falla, ora corretta, interessava i ConnectPort X2e di Digi International, dispositivi IoT usati per raccogliere i dati dell'impianto. Afflitti anche i dispositivi di SolarCity (azienda che fa parte di Tesla), in quanto a tutti gli effetti si tratta di ConnectPort X2e rimarchiati.
I problemi riscontrati sono due: la presenza di credenziali in chiaro nel firmware del dispositivo stesso (CVE-2020-9306, CVSS3.0: 8.8) e la possibilità per un utente senza i necessari privilegi di eseguire codice (CVE-2020-12878, CVSS3.0: 8.4). In entrambi i casi, si tratta di vulnerabilità dalle conseguenze serie e mediamente semplici da sfruttare.
Le vulnerabilità dei dispositivi IoT ConnectPort X2e e SolarWinds
La presenza di credenziali codificate nei dispositivi IoT ConnectPort X2 avrebbe potuto portare un attaccante a estrarre informazioni dal dispositivo, installare meccanismi di persistenza, scalare i privilegi fino a creare le condizioni per un denial of service. Nel caso della falla identificata come CVE-2020-9306, i ricercatori di Mandiant hanno scoperto la presenza un un archivio zip nel firmware del dispositivo contenente dei file python compilati. Una volta decompilati i file, i ricercatori hanno trovato una bella sorpresa: al loro interno si trovava uno script contenente delle credenziali in chiaro per l'utente "pyhton", credenziali condivise da TUTTI i gateway di Tesla/SolarCity.
La falla è stata risolta con un aggiornamento OTA (Over the Air), nello specifico con la versione 3.2.30.6 pubblicata a maggio May 2020.
Il secondo problema di sicurezza, CVE-2020-12878, avrebbe invece consentito a un attaccante con accesso alla rete locale di compromettere il dispositivo da remoto, installando del malware che ne avrebbe potuto modificare il comportamento. Anche in questo caso, il problema è stato risolto con il firmware 3.2.30.6.
A questo indirizzo è disponibile una guida in due parti con l'analisi completa delle due vulnerabilità.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".