Siber güvenlik araştırmacıları, Çinli Solarman ve Deye şirketleri tarafından işletilen fotovoltaik sistem yönetim platformlarında, kötü niyetli kişilerin kesintilere ve elektrik kesintilerine yol açmasına olanak verebilecek bir dizi güvenlik açığı tespit etti.
Bitdefender araştırmacıları geçen hafta yayınlanan bir analizde, “Bu güvenlik açıkları istismar edilirse, saldırganın şebekenin bazı kısımlarını devre dışı bırakabilecek invertör ayarlarını kontrol etmesine ve potansiyel olarak elektrik kesintilerine yol açmasına olanak tanıyabilir” dedi.
Söz konusu güvenlik açıkları, 22 Mayıs 2024’te yapılan sorumlu açıklamanın ardından Solarman ve Deye tarafından Temmuz 2024 itibarıyla giderildi.
İki PV izleme ve yönetim platformunu analiz eden Rumen siber güvenlik sağlayıcısı, bunların hesap ele geçirilmesi ve bilgi ifşası gibi çeşitli sorunlarla karşı karşıya olduğunu söyledi.
Sorunların kısa bir açıklaması aşağıda listelenmiştir –
- /oauth2-s/oauth/token API uç noktasını kullanarak Yetkilendirme Belirteci Manipülasyonu ile Tam Hesap Devralma
- Deye Cloud Token’ın Yeniden Kullanımı
- /group-s/acc/orgs API Uç Noktası Üzerinden Bilgi Sızıntısı
- Sınırsız Cihaz Erişimine Sahip Sabit Kodlu Hesap (hesap: “[email protected]” / şifre: 123456)
- /user-s/acc/orgs API Uç Noktası Üzerinden Bilgi Sızıntısı
- Potansiyel Yetkisiz Yetkilendirme Belirteci Oluşturma
Yukarıda belirtilen güvenlik açıklarının başarılı bir şekilde istismar edilmesi, saldırganların herhangi bir Solarman hesabı üzerinde kontrol sahibi olmasına, Solarman hesaplarına yetkisiz erişim sağlamak için Deye Cloud’dan JSON Web Token’ları (JWT’ler) yeniden kullanmasına ve tüm kayıtlı kuruluşlar hakkında özel bilgi toplamasına olanak tanıyabilir.
Ayrıca herhangi bir Deye cihazı hakkında bilgi elde edebilir, gizli kayıtlı kullanıcı verilerine erişebilir ve hatta platformdaki herhangi bir kullanıcı için kimlik doğrulama belirteçleri üretebilirler; bu da gizliliğini ve bütünlüğünü ciddi şekilde tehlikeye atabilir.
Araştırmacılar, “Saldırganlar hesapları ele geçirebilir ve güneş enerjisi invertörlerini kontrol ederek elektrik üretimini aksatabilir ve potansiyel olarak voltaj dalgalanmalarına neden olabilir” dedi.
“Kullanıcılar ve kuruluşlar hakkında hassas bilgiler sızdırılabilir ve bu da gizlilik ihlallerine, bilgi toplamaya, hedefli kimlik avı saldırılarına veya diğer kötü amaçlı faaliyetlere yol açabilir. Saldırganlar, güneş invertörlerindeki ayarlara erişerek ve bunları değiştirerek, güç dağıtımında yaygın kesintilere neden olabilir, şebeke istikrarını etkileyebilir ve potansiyel olarak elektrik kesintilerine yol açabilir.”