Cientos de dispositivos expuestos a Internet dentro de las granjas solares siguen sin parchear contra una vulnerabilidad crítica y explotada activamente que facilita que los atacantes remotos interrumpan las operaciones o se afiancen dentro de las instalaciones.
Los dispositivos, vendidos por Contec, con sede en Osaka, Japón, bajo la marca vista solar, ayudan a las personas dentro de las instalaciones solares a controlar la cantidad de energía que generan, almacenan y distribuyen. Contec dice que aproximadamente 30,000 centrales eléctricas han introducido los dispositivos, que vienen en varios paquetes según el tamaño de la operación y el tipo de equipo que utiliza.
Las búsquedas en Shodan indican que se puede acceder a más de 600 de ellos en la Internet abierta. A pesar de lo problemática que es esa configuración, los investigadores de la empresa de seguridad VulnCheck dijo el miércoles
Empresa de seguridad Palo Alto Networks dijo el mes pasado
“El hecho de que varios de estos sistemas estén orientados a Internet y que las vulnerabilidades públicas hayan estado disponibles el tiempo suficiente para incorporarse a una variante de Mirai no es una buena situación”, escribió el investigador de VulnCheck, Jacob Baines. “Como siempre, las organizaciones deben tener en cuenta qué sistemas aparecen en su espacio IP público y realizar un seguimiento de las vulnerabilidades públicas de los sistemas en los que confían”.
Baines dijo que los mismos dispositivos vulnerables a CVE-2022-29303 también eran vulnerables a CVE-2023-23333, una vulnerabilidad de inyección de comandos más reciente que también tiene una clasificación de gravedad de 9.8. Aunque no hay informes conocidos de que se explote activamente, código de explotación ha estado disponible públicamente desde febrero.
Las descripciones incorrectas de ambas vulnerabilidades son un factor involucrado en las fallas de los parches, dijo Baines. Ambas vulnerabilidades indican que las versiones 8.00 y 8.10 de SolarView están parcheadas contra CVE-2022-29303 y CVE-2023-293333. De hecho, dijo el investigador, solo 8.10 está parcheado contra las amenazas.
Palo Alto Networks dijo que la actividad de explotación de CVE-2022-29303 es parte de una amplia campaña que explotó 22 vulnerabilidades en una gama de dispositivos IoT en un intento de difundir una variante de Marai. Los ataques comenzaron en marzo e intentaron usar los exploits para instalar una interfaz de shell que permite controlar los dispositivos de forma remota. Una vez explotado, un dispositivo descarga y ejecuta los clientes de bot que están escritos para varias arquitecturas de Linux.
Hay indicios de que la vulnerabilidad posiblemente estaba siendo atacada incluso antes. código de explotación está disponible desde mayo de 2022. Este video del mismo mes muestra a un atacante que busca en Shodan un sistema SolarView vulnerable y luego usa el exploit contra él.
Si bien no hay indicios de que los atacantes estén explotando activamente CVE-2023-23333, existen múltiples exploits en GitHub.
No hay orientación en el sitio web de Contec sobre cualquiera de las vulnerabilidades y los representantes de la compañía no respondieron de inmediato a las preguntas enviadas por correo electrónico. Cualquier organización que utilice uno de los dispositivos afectados debe actualizarse lo antes posible. Las organizaciones también deben verificar si sus dispositivos están expuestos a Internet y, de ser así, cambiar sus configuraciones para asegurarse de que solo se pueda acceder a los dispositivos en las redes internas.