Photovoltaik-Monitoring: Sicherheitslücken in Solarview werden angegriffen
Das Mirai-Botnet greift auch Lücken im Photovoltaik-Monitoring Solarview an. Weitere Lücken darin stehen bei im Internet zugreifbaren Systemen unter Beschuss.
(Bild: seo byeong gon/Shutterstock.com)
IT-Sicherheitsforscher von Vulncheck haben mehrere Exploits für Sicherheitslücken in der Contec Solarview-Serie aufgespürt. Ihre Untersuchung liefert Zahlen zu verwundbaren Systemen und aktuell laufenden Angriffen. IT-Verantwortliche sollten zumindest Sorge dafür tragen, dass die industriellen Kontrollsysteme (Industrial Control Systems, ICS) nicht aus dem Internet erreichbar sind.
Die Untersuchungen fanden ihren Ursprung in der von Palo Altos Unit42 beobachteten Malware-Kampagne zur Verbreitung von Varianten der Mirai-Botnet-Drohnen. Die IT-Forscher stießen dabei auf hunderte aus dem Internet erreichbare und verwundbare Solarview-Systeme.
Solarview: Überwachung von Solarstrom-Erzeugung und -Speicherung
Die Solarview-Systeme dienen der Überwachung und Visualisierung der Strom-Erzeugung und -Speicherung von kleinen bis mittelgroßen Solarstrom-Anlagen. Hersteller Contec gibt an, dass die Lösung in mehr als 30.000 Solarstrom-Plantagen eingesetzt werde. Mit der Suchmaschine Shodan haben die IT-Analytiker mehr als 600 Systeme ausgemacht, die aus dem Internet erreichbar waren.
Das Mirai-Botnet stürzt sich Unit42 zufolge auf die Schwachstelle CVE-2022-29303 in der Version 6.00 der Software. Die stamme aus 2019, neuere Firmware-Versionen seien 6.20 aus 2019, 7.00 aus 2021, 8.0 aus 2022 und 8.10 aus diesem Jahr. Die Schwachstellenbeschreibung bezüglich der betroffenen Versionen sei jedoch inakkurat, führt Vulncheck aus, etwa die Version 6.20 enthält keine Korrektur für den anfälligen conf_mail.php-Endpunkt. Mehr noch, der Fehler sei bis zurück zur Version 4.00 des Solarview-Systems zu finden. Erst Version 8.0 habe den Endpunkt zur auth.require-Liste hinzugefügt, ebenso eine Prüfung der $mail_address-Variable, die Angreifer zuvor kontrollieren und missbrauchen konnten.
Daraus folgt, dass deutlich mehr Systeme verwundbar sind, als die CVE-Schwachstellenbeschreibung vermuten lasse. Anhand eines eindeutigen Copyright-Hinweises auf der Webseite der Solarview-Systeme ließen sich schließlich die aus dem Internet erreichbaren Systeme mit Shodan aufspüren. Weniger als ein Drittel der im Internet stehenden Systeme seien demnach gegen die Schwachstelle CVE-2023-29303 gepatcht.
Weitere Sicherheitslücken in Solarview
Wie die Vulncheck-IT-Forscher weiter in ihrer Analyse ausführen, haben sie erste Hinweise auf die Schwachstelle im Mai 2022 gefunden. In einem Youtube-Video aus demselben Monat sei ein Exploit gegen ein mit Shodan aufgespürtes System demonstriert worden. Allerdings gebe es noch weitere Schwachstellen, die nicht authentifizierten Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglichen. Die Beschreibung der Schwachstelle CVE-2023-23333 – mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft – erläutert, dass Versionen bis 6.00 anfällig seien. Vulncheck setzt dagegen, dass die Firmware bis einschließlich Version 8.00 verwundbar ist.
Die Lücke CVE-2022-44354 gilt mit dem CVSS-Wert von 9.8 ebenfalls als kritisch und ermöglicht bösartigen Akteuren das Hochladen von Dateien, etwa einer PHP-Shell. Die Angabe, dass die Versionen 4.0 und 5.0 betroffen seien, sei ebenfalls falsch. Änderungen an der betroffenen Datei /Solar_Image.php hätten erst in Version 7.0 stattgefunden. Der Fix lasse sich jedoch leicht umgehen. Das Hinzufügen der Seite zur auth.require-Liste in Solarview 8.00 sorge immerhin dafür, dass Angreifer zumindest authentifiziert sein müssen.
Weitere Lücken bereits angegriffen
Die IT-Forscher haben auf der Greynoise-Liste einige Einträge für die /Solar_Image.php- und /downloader.php-Endpunkte entdeckt, woraus sie schließen, dass sie ebenfalls bereits aktiv angegriffen werden. Sie weisen weiter darauf hin, dass die Probleme nicht nur die Solarview "Compact"-Fassung betreffen, sondern auch Solarview Air – der Code sei nahezu identisch – und wahrscheinlich auch die "Battery"-Version.
IT-Verantwortliche, die Solarview-Produkte einsetzen, sollten die Systeme nicht aus dem Internet erreichbar machen. Zudem ist eine Aktualisierung auf die neuste Firmware-Version anzuraten, um Sicherheitslücken in den Systemen zu schließen. Auch, wenn Angreifer auf den verwundbaren Systemen selbst nicht viel ausrichten können, da es sich um Monitoring-Systeme handelt, gelingt ihnen anderenfalls möglicherweise der Einstieg und die weitere Ausbreitung im Netzwerk.
(dmk)
