Исследователи в области кибербезопасности из Forescout Vedere Labs раскрыли 46 новых уязвимостей в продуктах трёх производителей солнечных инверторов — Sungrow, Growatt и SMA. Проблемы безопасности, объединённые под кодовым названием SUN:DOWN, позволяют злоумышленникам захватывать контроль над устройствами, выполнять удалённый код и манипулировать энергосетями, что создаёт серьёзные риски для энергетической инфраструктуры. Все компании-производители уже устранили выявленные недостатки после ответственного раскрытия информации.
Среди критичных уязвимостей выделены сценарии, когда атакующие могут загружать вредоносные файлы .aspx на серверы SMA (через sunnyportal) для выполнения произвольных команд. В системах Growatt обнаружены точки доступа API, позволяющие неавторизованным пользователям перечислять учётные записи, получать списки солнечных электростанций и серийные номера умных счётчиков, что приводит к захвату устройств и аккаунтов. Отдельный риск связан с конечной точкой evcharge — через неё можно не только получить данные о зарядных станциях и энергопотреблении, но и дистанционно изменять их настройки, что способно вызвать физические повреждения.
Продукты Sungrow содержат несколько уязвимостей: мобильное приложение использует ненадёжный ключ AES для шифрования, игнорирует ошибки сертификатов (риск атак «человек посередине»), а веб-интерфейс WiNet включает жёстко заданный пароль для расшифровки обновлений прошивки. Обработка MQTT-сообщений в инверторах компании также может привести к удалённому выполнению кода или DoS-атакам.
Эксперты подчёркивают, что массовый захват инверторов способен дестабилизировать энергосети. «Контролируя устройства, злоумышленники могут изменять настройки генерации — например, направлять в сеть избыток энергии или резко снижать её подачу», — отмечается в отчёте. В гипотетическом сценарии атаки на Growatt хакеры, получив доступ через API, сбрасывают пароли аккаунтов на стандартный «123456», формируя ботнет для масштабного воздействия на сеть, вплоть до отключений электроснабжения.
Даниэль душ Сантуш, руководитель исследовательского подразделения Forescout Vedere Labs, рекомендует внедрять строгие требования безопасности при закупке оборудования, регулярно проводить аудиты и обеспечивать полную видимость устройств в сети. «Эти уязвимости повышают риск киберфизических атак, где злоумышленники могут шантажировать операторов, угрожая нарушить работу энергосистем», — пояснил он.
Раскрытие SUN:DOWN подчёркивает системный характер угроз для операционных технологий. С ростом интеграции IoT-устройств в критическую инфраструктуру, даже «незаметные» компоненты, вроде солнечных инверторов, становятся потенциальными векторами для атак, требующими комплексного подхода к безопасности — от этапа проектирования до постоянного мониторинга.
