Исследователи обнаружили серьезные уязвимости в продукции трех крупнейших производителей солнечных инверторов — Sungrow, Growatt и SMA. Эти устройства играют ключевую роль в преобразовании энергии солнечных панелей в электричество, поступающее в энергосети. По данным экспертов из лаборатории Vedere Labs, злоумышленники могут использовать найденные «дыры» для удаленного управления устройствами или выполнения кода на облачных платформах производителей.
Возможные последствия этих уязвимостей оцениваются как крайне серьезные. Эксперты предупреждают, что атакующие могут не только нарушить работу отдельных устройств, но и создать дисбаланс между генерацией энергии и спросом, что может привести к сбоям в работе энергосетей. «Это может повлиять на стабильность сетей и даже нанести физический ущерб», — подчеркивают исследователи.
Всего было выявлено 46 уязвимостей, пишет издание BleepingComputer. Большинство из них затрагивают продукцию Sungrow и Growatt, тогда как только одна (CVE-2025-0731) относится к SMA. Через эту уязвимость злоумышленники могут загрузить файлы формата .ASPX на сервер компании через платформу sunnyportal.com, используемую для мониторинга систем.
Управление инверторами Growatt оказалось проще всего захватить, поскольку это можно сделать через облачную инфраструктуру компании. Хотя полный контроль над устройством недоступен, хакеры могут изменять параметры конфигурации инвертора. Атакующие получают доступ к учетным записям пользователей через уязвимости IDOR, а также осуществлять кражу с помощью JavaScript-инъекций.
Захват устройств Sungrow требует более сложных действий. Атакующий может собирать серийные номера коммуникационных устройств через IDOR-уязвимости, такие как CVE-2024-50685, CVE-2024-50693 и CVE-2024-50686. Затем, используя жестко запрограммированные учетные данные MQTT (CVE-2024-50692), он может отправлять сообщения на произвольные устройства. Наконец, злоумышленник может воспользоваться критическими уязвимостями переполнения стека (например, CVE-2024-50694) для выполнения кода на устройствах.
Если атакующий получит контроль над целым парком инверторов, последствия могут быть катастрофическими. «Каждый инвертор может модулировать свою выработку энергии в зависимости от текущего уровня производства солнечных панелей. Совокупное воздействие взломанных инверторов может существенно повлиять на производство энергии в сети», — объясняют в Vedere Labs.
Также хакеры могут использовать захваченные устройства в качестве ботнета для координированной атаки. Например, снижать выработку энергии во время пикового производства и искусственно влиять на нагрузку в сети, что достигается путем изменения мощности инверторов в противофазе с действиями основного управления сетью.
Производители уже приняли меры для устранения уязвимостей. Sungrow и SMA выпустили патчи, при этом первая компания активно сотрудничала с экспертами, чтобы убедиться в эффективности исправлений. Компания Growatt также устранила проблемы, причем обновления не требуют физического вмешательства в устройства.