世界正在迅速向可再生能源过渡,这是打击气候变化和确保可持续未来的关键转变。但是,随着可再生能源领域的成倍增长,网络安全也会面临的威胁。美国联邦调查局的最新警告对影响太阳能基础设施的主要威胁引起了警报,以及诸如Pen测试公司Atropos的Vangelis Stykas之类的网络安全专家,他们最近与Incyber新闻强调在这些脆弱性导致灾难性后果之前解决这些脆弱性的紧迫性。
联邦调查局的明显警告
在最近的私人行业通知(PIN)中,联邦调查局强调了对可再生能源部门的网络威胁日益增加。该局专门标记了通过太阳能电池板逆变器未经授权访问的风险,该逆变器将直流电流(DC)能量转换为交流电(AC)电力。这些系统与互联网集成,虽然有益于监视和管理,但大大提高了其风险状况,使它们容易受到严重威胁,包括电源中断,硬件损坏或勒索软件攻击。
到目前为止,这类攻击一直相对罕见,但联邦调查局清楚地认为,随着绿色过渡的加速和诸如太阳逆变器之类的组件的加速和组件越来越互连,这些攻击的频率和严重性将会增加,而成功的攻击可能会导致广泛的网格不良化。
Vangelis Stykas:研究发现令人震惊的漏洞
联邦调查局的警告仅证实了领先的安全专家发现了什么。网络安全公司Atropos的首席技术官兼联合创始人Vangelis Stykas于6月在里斯本举行的OWASP会议上介绍了对EV充电器和太阳能电池板组件中脆弱性的全面分析,揭示了在各种制造商中缺乏安全准备的令人不安的缺乏。
“我能够在多个平台上获得管理员级别的访问权限,”Stykas向Incyber News解释说,对他在Owasp提出的有关发现的更多见解。“通过此访问,我可以远程推动固件更新,有可能'破坏'光伏充电器和电动汽车,在某些情况下会导致它们着火。”
他告诉Incyber“出乎意料的是,发现这些漏洞以及对它们的普遍无知的轻松。”
While Stykas did identify a number of vulnerabilities in EV charging equipment, he noted that the manufacturers of the flawed infrastructure (China-based SHENZHEN; China-based GROWATT; Netherlands-based EVBOX; Spain-based WALLBOX; UK-based EOHUB; California-based CHARGEPOINT) all responded at some point to his disclosures and, more or less promptly, resolved the vulnerabilities.
Stykas更令人震惊的发现涉及领先的太阳能技术制造商使用的API中固有的弱点。 Stykas确定了组件中的几个关键漏洞,特别是PV逆变器,这些易感性主要由中国公司(例如Solarman,Solax,Sunsynk和Growatt)生产。这些漏洞包括不安全的直接对象参考(IDOR),破碎的身份验证和授权机制以及远程命令执行(RCE)功能,这些功能可以使攻击者可以在人们的房屋上对太阳能系统进行全面控制,操纵其设置并潜在地破坏整个电网。
例如,当用户控制的值允许直接访问对象或功能并允许攻击者无需适当授权并更改系统配置时,就会允许攻击者在太阳逆变器上访问用户帐户时,就会出现依恋漏洞。在某些情况下,Stykas发现这些漏洞允许完全访问逆变器及其管理帐户,从而为网络犯罪分子提供了操纵甚至将设备进行砖块的机会。
Stykas还设法在这些逆变器上获得了远程命令执行(RCE),这是一个特别危险的成就。远程执行命令的能力基本上意味着黑客可以远程控制设备。鉴于可再生能源在整体能源组合中起着越来越重要的作用,因此这种脆弱性对电网构成了主要风险。
领先的制造商对采取行动的速度是否会缓慢?
Stykas发现最令人不安的方面之一是他通知这些脆弱性的公司的相对无动于衷的回应。“脆弱性将永远出现。重要的是一个人的反应方式和固定速度的速度。这就是使一个好的,可靠的提供者的原因,”Stykas强调。“五个光伏制造商中的两个在我的干预措施后做出了反应并修复了漏洞。其他人无视我。所有人都承认收到我的电子邮件,但只有两个行动。[...]大多数漏洞仍然存在,不幸的是,有人会在某个点上利用它们。”
对关键网络安全脆弱性的这种态度无疑是关于和危险的。冲向市场和削减成本措施可能导致了不安全的组成部分的广泛采用,从而造成了大规模的脆弱性,可以轻松地由国家资助的参与者或犯罪组织利用,并带来重大有害后果。鉴于该国悠久的网络间谍活动历史(包括能源领域),许多公司都确定了像Stykas这样的研究人员确定漏洞的许多组成部分,这一事实添加了该问题的额外国家安全关注。
具有广泛潜在后果的威胁
的确,一再发现由各种公司制造的可再生能源基础设施组成部分中的严重脆弱性,这引起了人们的真正恐惧,即坏演员可能会利用这些缺陷来破坏世界各国国家的关键基础设施。电网的互连性质使这种威胁更加复杂,在这种情况下,对系统的一个部分的攻击可以在整个地区产生级联效应。
“有一项名为荷鲁斯情景的详尽研究,”Stykas向Incyber解释。“威廉·维斯特霍夫(Willem Westerhof)提供了理论上的证据,即如果攻击了足够多的光伏系统,它可能会严重破坏网格的稳定。在欧洲,国家网格是如此相互联系,以至于攻击可能会使整个大陆变黑。这是理论上的,但它可能发生在其他不可再生能量之前发生的核能或煤炭以稳定网格的稳定。”
各种各样的演员都承担了自己的责任,以防止这种灾难性的情况。“供应商应始终检查自己的安全性,进行渗透测试并遵循安全清单,”Stykas强调。“不幸的是,政府和其他监管机构正在落后。法规必须开始要求供应商具有适当的安全协议。监管机构,尤其是在欧洲的监管机构,善于监管;这不是问题。问题是尚无监管光伏的监管。
正如Stykas强调的那样,向可再生能源的过渡对于我们星球的未来至关重要,但不能以安全为代价。执法部门和研究人员的持续警告,这是一个明显的提醒,我们可再生能源基础设施中的缺陷是真实的,有可能具有毁灭性的。正面解决这些漏洞对于建立可持续和安全的未来至关重要。
