Δεκάδες ελαττώματα σε ηλιακούς μετατροπείς θέτουν σε κίνδυνο δίκτυα ηλεκτρικής ενέργειας
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Δεκάδες ελαττώματα σε ηλιακούς μετατροπείς θέτουν σε κίνδυνο δίκτυα ηλεκτρικής ενέργειας
https://www.secnews.gr/644685/dekades-elattomata-iliakous-metatropeis-thetoun-kindino-diktia-ilektrikis-energeias/
Mar 28th 2025, 12:22
by Absenta Mia
Πολλά ελαττώματα σε προϊόντα τριών κορυφαίων κατασκευαστών ηλιακών μετατροπέων, των Sungrow, Growatt και SMA, θα μπορούσαν να χρησιμοποιηθούν για τον έλεγχο συσκευών ή την εκτέλεση κώδικα απομακρυσμένα, στην πλατφόρμα cloud προμηθευτή.
Δείτε επίσης: OpenAI: Έως και 100.000 $ για κρίσιμα ελαττώματα υποδομής
Η πιθανή επίδραση των προβλημάτων ασφαλείας έχει αξιολογηθεί ως σοβαρή, καθώς θα μπορούσαν να χρησιμοποιηθούν σε επιθέσεις που μπορεί να επηρεάσουν τη σταθερότητα του δικτύου και να πλήξουν την ιδιωτικότητα των χρηστών.
Σε ένα πιο ανησυχητικό σενάριο, οι ευπάθειες θα μπορούσαν να εκμεταλλευτούν για να διαταράξουν ή να βλάψουν τα δίκτυα ηλεκτρικής ενέργειας, δημιουργώντας ανισορροπία μεταξύ παραγωγής και ζήτησης ενέργειας.
Ερευνητές ασφαλείας από τα Vedere Labs, τον τομέα έρευνας κυβερνοασφάλειας της εταιρείας δικτυακής ασφάλειας Forescout, εντόπισαν 46 ελαττώματα σε ηλιακούς μετατροπείς από τις εταιρείες Sungrow, Growatt και SMA – τρεις από τους έξι κορυφαίους κατασκευαστές παγκοσμίως.
Η πιθανή επίδραση ορισμένων από αυτές τις ευπάθειες είναι σημαντική, καθώς θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένη πρόσβαση σε πόρους σε πλατφόρμες cloud, απομακρυσμένη εκτέλεση κώδικα (RCE), κατάληψη συσκευών, αποκάλυψη πληροφοριών, φυσική ζημιά και άρνηση υπηρεσίας.
Δείτε ακόμα: Ενημέρωση ασφαλείας Chrome διορθώνει πολλαπλά κρίσιμα ελαττώματα
Από τα 46 ζητήματα που ανακαλύφθηκαν, μόνο ένα, το CVE-2025-0731, επηρεάζει τα προϊόντα SMA. Ένας εισβολέας θα μπορούσε να το χρησιμοποιήσει για να επιτύχει απομακρυσμένη εκτέλεση κώδικα μεταφορτώνοντας αρχεία .ASPX που θα εκτελούνταν από τον διακομιστή web στο sunnyportal.com – την πλατφόρμα της εταιρείας για την παρακολούθηση φωτοβολταϊκών (PV) συστημάτων.
Σε μια σημερινή αναφορά, η Forescout περιγράφει πώς ένας εισβολέας θα μπορούσε να χρησιμοποιήσει τα ελαττώματα που αποκαλύφθηκαν πρόσφατα για να παραβιάσει τους ηλιακούς μετατροπείς Growatt και Sungrow.
Οι ερευνητές αναφέρουν ότι η ανάληψη ελέγχου των μετατροπέων Growatt είναι πιο απλή "διότι μπορεί να επιτευχθεί μόνο μέσω του cloud backend."
Ωστόσο, επισημαίνουν ότι, αν και ο έλεγχος της συσκευής δεν είναι πλήρης, ένας επιτιθέμενος έχει πρόσβαση στις παραμέτρους ρύθμισης του μετατροπέα και μπορεί να τις τροποποιήσει.
Ένας επιτιθέμενος θα μπορούσε να καταγράψει ονόματα χρηστών χωρίς αυθεντικοποίηση, από μια εκτεθειμένη API της Growatt και στη συνέχεια να αναλάβει λογαριασμούς εκμεταλλευόμενος δύο ευπάθειες IDOR (ανασφαλείς άμεσες αναφορές αντικειμένων), ή να κλέψει διαπιστευτήρια μέσω έγχυσης JavaScript εκμεταλλευόμενος δύο αποθηκευμένα ελαττώματα XSS.
Δείτε επίσης: Chrome 134 και Firefox 136 διορθώνουν κρίσιμες ευπάθειες
Οι επιθέσεις σε υποδομές ηλεκτρικής ενέργειας αναφέρονται σε οποιαδήποτε ενέργεια που στοχεύει να προκαλέσει ζημιά ή να παραλύσει τις υποδομές παραγωγής, μεταφοράς ή διανομής ηλεκτρικής ενέργειας. Αυτές οι επιθέσεις μπορεί να περιλαμβάνουν φυσικές καταστροφές, κυβερνοεπιθέσεις ή άλλες στρατηγικές ενέργειες που στοχεύουν στην υπονόμευση της ενεργειακής υποδομής ενός κράτους ή μιας περιοχής. Η προστασία των ενεργειακών υποδομών απαιτεί την ανάπτυξη προηγμένων συστημάτων ασφάλειας, τόσο φυσικής όσο και κυβερνοασφάλειας, καθώς και την εφαρμογή εθνικών στρατηγικών για την αντιμετώπιση αυτών των απειλών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Δεκάδες ελαττώματα σε ηλιακούς μετατροπείς θέτουν σε κίνδυνο δίκτυα ηλεκτρικής ενέργειας
https://www.secnews.gr/644685/dekades-elattomata-iliakous-metatropeis-thetoun-kindino-diktia-ilektrikis-energeias/
Mar 28th 2025, 12:22
by Absenta Mia
Πολλά ελαττώματα σε προϊόντα τριών κορυφαίων κατασκευαστών ηλιακών μετατροπέων, των Sungrow, Growatt και SMA, θα μπορούσαν να χρησιμοποιηθούν για τον έλεγχο συσκευών ή την εκτέλεση κώδικα απομακρυσμένα, στην πλατφόρμα cloud προμηθευτή.
Δείτε επίσης: OpenAI: Έως και 100.000 $ για κρίσιμα ελαττώματα υποδομής
Η πιθανή επίδραση των προβλημάτων ασφαλείας έχει αξιολογηθεί ως σοβαρή, καθώς θα μπορούσαν να χρησιμοποιηθούν σε επιθέσεις που μπορεί να επηρεάσουν τη σταθερότητα του δικτύου και να πλήξουν την ιδιωτικότητα των χρηστών.
Σε ένα πιο ανησυχητικό σενάριο, οι ευπάθειες θα μπορούσαν να εκμεταλλευτούν για να διαταράξουν ή να βλάψουν τα δίκτυα ηλεκτρικής ενέργειας, δημιουργώντας ανισορροπία μεταξύ παραγωγής και ζήτησης ενέργειας.
Ερευνητές ασφαλείας από τα Vedere Labs, τον τομέα έρευνας κυβερνοασφάλειας της εταιρείας δικτυακής ασφάλειας Forescout, εντόπισαν 46 ελαττώματα σε ηλιακούς μετατροπείς από τις εταιρείες Sungrow, Growatt και SMA – τρεις από τους έξι κορυφαίους κατασκευαστές παγκοσμίως.
Η πιθανή επίδραση ορισμένων από αυτές τις ευπάθειες είναι σημαντική, καθώς θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένη πρόσβαση σε πόρους σε πλατφόρμες cloud, απομακρυσμένη εκτέλεση κώδικα (RCE), κατάληψη συσκευών, αποκάλυψη πληροφοριών, φυσική ζημιά και άρνηση υπηρεσίας.
Δείτε ακόμα: Ενημέρωση ασφαλείας Chrome διορθώνει πολλαπλά κρίσιμα ελαττώματα
Από τα 46 ζητήματα που ανακαλύφθηκαν, μόνο ένα, το CVE-2025-0731, επηρεάζει τα προϊόντα SMA. Ένας εισβολέας θα μπορούσε να το χρησιμοποιήσει για να επιτύχει απομακρυσμένη εκτέλεση κώδικα μεταφορτώνοντας αρχεία .ASPX που θα εκτελούνταν από τον διακομιστή web στο sunnyportal.com – την πλατφόρμα της εταιρείας για την παρακολούθηση φωτοβολταϊκών (PV) συστημάτων.
Σε μια σημερινή αναφορά, η Forescout περιγράφει πώς ένας εισβολέας θα μπορούσε να χρησιμοποιήσει τα ελαττώματα που αποκαλύφθηκαν πρόσφατα για να παραβιάσει τους ηλιακούς μετατροπείς Growatt και Sungrow.
Οι ερευνητές αναφέρουν ότι η ανάληψη ελέγχου των μετατροπέων Growatt είναι πιο απλή "διότι μπορεί να επιτευχθεί μόνο μέσω του cloud backend."
Ωστόσο, επισημαίνουν ότι, αν και ο έλεγχος της συσκευής δεν είναι πλήρης, ένας επιτιθέμενος έχει πρόσβαση στις παραμέτρους ρύθμισης του μετατροπέα και μπορεί να τις τροποποιήσει.
Ένας επιτιθέμενος θα μπορούσε να καταγράψει ονόματα χρηστών χωρίς αυθεντικοποίηση, από μια εκτεθειμένη API της Growatt και στη συνέχεια να αναλάβει λογαριασμούς εκμεταλλευόμενος δύο ευπάθειες IDOR (ανασφαλείς άμεσες αναφορές αντικειμένων), ή να κλέψει διαπιστευτήρια μέσω έγχυσης JavaScript εκμεταλλευόμενος δύο αποθηκευμένα ελαττώματα XSS.
Δείτε επίσης: Chrome 134 και Firefox 136 διορθώνουν κρίσιμες ευπάθειες
Οι επιθέσεις σε υποδομές ηλεκτρικής ενέργειας αναφέρονται σε οποιαδήποτε ενέργεια που στοχεύει να προκαλέσει ζημιά ή να παραλύσει τις υποδομές παραγωγής, μεταφοράς ή διανομής ηλεκτρικής ενέργειας. Αυτές οι επιθέσεις μπορεί να περιλαμβάνουν φυσικές καταστροφές, κυβερνοεπιθέσεις ή άλλες στρατηγικές ενέργειες που στοχεύουν στην υπονόμευση της ενεργειακής υποδομής ενός κράτους ή μιας περιοχής. Η προστασία των ενεργειακών υποδομών απαιτεί την ανάπτυξη προηγμένων συστημάτων ασφάλειας, τόσο φυσικής όσο και κυβερνοασφάλειας, καθώς και την εφαρμογή εθνικών στρατηγικών για την αντιμετώπιση αυτών των απειλών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια