Son zamanlarda, VulnCheck’teki siber güvenlik araştırmacıları, Shodan’daki internete açık yüzlerce SolarView sisteminin kritik bir komut enjeksiyonu güvenlik açığına karşı yamalandığını ortaya çıkardı.
Uzmanlar, hem Mirai botnet korsanlarının hem de deneyimsiz kişilerin onu kullanmaya başladığını ve daha fazlasının katılmasının beklendiğini belirtti.
.png
)
Palo Alto Networks’teki Unit 42 araştırmacıları, Mirai botnet’in yayılmak için Contec’in SolarView Series yazılımındaki bir komut enjeksiyon güvenlik açığından (CVE-2022-29303) yararlandığını tespit etti.
30.000’den fazla güneş enerjisi istasyonu SolarView kullanıyor ve kritik güvenlik açıkları arasında CVE-2022-29303, üçünden biri olarak duruyor.
Kusur Profili
- CVE Kimliği: CVE-2022-29303
- Açıklama: SolarView Compact ver.6.00’in conf_mail.php aracılığıyla bir komut ekleme güvenlik açığı içerdiği keşfedildi.
- CVSS Puanı: 9.8
- Önem Derecesi: KRİTİK
SolarView Sistemleri indekslendi
Şu anda, Shodan tarafından indekslenen 600’den fazla sistem var. SolarView, küçük ve orta ölçekli kurulumlar için güneş enerjisi üretimini ve depolamayı izler ve görüntüler.
Uzmanlar, VulnCheck İstihbarat İstihbaratının dizine eklenmiş genel istismarları göz önüne alındığında, gerçek dünya senaryolarında bu istismarın potansiyel kapsamını ve etkisini keşfetmeye çalıştı.
30.000’den fazla güç istasyonunda tanıtılmasının yanı sıra, Contec aşağıdakiler için dağıtım senaryolarını da vurgulamaktadır:-
- SolarView Hava
- SolarView Pil
Bu, donanımın doğası gereği ticari olan binalarda ve güneş enerjisi santrallerindeki uygulamasını gösterir.
ICS ağlarına net bir şekilde odaklanması nedeniyle, internetten erişilebilen bir Contec SolarView ile asla karşılaşılmamalıdır.
SolarView’ün etkilenen sürümleri, 2019’a kadar uzanan ‘ver.6.00’ı içerir ve o zamandan beri SolarView Compact dört aygıt yazılımı güncellemesinden geçmiştir:-
- 2019’da 6,20
- 2021’de 7.00
- 2022’de 8.00
- 2023’te 8,10
Bu, sınırlı sayıda maruz kalan ana bilgisayarın güvenlik açığından etkilendiği anlamına gelir. CVE-2022-29303, web sunucusunun conf_mail.php uç noktasını etkiler ve güvenlik açığı bulunan 6.00’den sonra 6.20 sürümünün yayınlanmasına rağmen sorunu çözmedi.
Uzmanlar, 4.00 sürümünden bu yana conf_mail.php dosyasında basit bir komut enjeksiyonunun varlığını keşfederek hem 6.00 hem de 6.20 sürümleri etkilendi.
Saldırgan tarafından kontrol edilen $mail_address değişkeni için doğrulama yalnızca 8.00 sürümünde, conf_mail.php kimlik doğrulama gereksinimleri listesine dahil edildiğinde uygulandı.
İnternete maruz kalan SolarView serisi sistemlerin üçte birinden azı CVE-2022-29303’ü ele aldığından, etki CVE açıklamasının önerdiğinin ötesine geçiyor.
Birim 42’den gelen blog, güvenlik açığından yararlanıldığına dair ilk sinyal değildi; Mayıs 2022’den beri CVE-2022-29303 için bir Exploit-DB girişi mevcuttur.
Diğer RCE’ler
SolarView sistemleri ayrıca birkaç ek kimliği doğrulanmamış Uzaktan Kod Yürütmesinden (RCE) etkilenir ve bunlar aşağıda belirtilmiştir:-
8.00 sürümüne kadar SolarView serisi, CVE-2023-23333’e karşı savunmasızdır ve bu, downloader.php uç noktasını etkileyen basit bir komut enjeksiyonudur.
Kompakt sürümler 4.0, 5.0 ve 6.0, saldırganların sisteme bir PHP web kabuğu yüklemesine olanak tanıyan bir dosya yükleme güvenlik açığı olan CVE-2022-44354’e açıktır.
SolarView serisi öncelikle bir izleme sistemi olarak hizmet ettiğinden, en kötü durum senaryosu muhtemelen görüş kaybı olacaktır.
İstismarın etkisi, SolarView donanımının ağ entegrasyonuna bağlı olarak önemli ölçüde değişebilir ve potansiyel olarak önemli sonuçlara yol açabilir.
Kuruluşların genel IP alanlarını izlemeleri ve temel sistemlerini hedef alan genel açıklardan yararlanma konusunda güncel kalmaları çok önemlidir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.