今日頭條
官方微信
官方抖音
資訊頻道安全公司ITsec的荷蘭安全研究員Willem Westerhof發(fā)現(xiàn)了太陽能電池組件中的一個嚴(yán)重漏洞,可能被黑客利用來造成歐洲電網(wǎng)的大規(guī)模停電。
漏洞出在直流轉(zhuǎn)交流的逆變器中 6個月廠商也沒能解決問題
該漏洞存在于逆變器中,它是用于將直流電流轉(zhuǎn)換為交流電的太陽能電池板的組件。這些漏洞影響了德國市場領(lǐng)導(dǎo)者 SMA 制造商的逆變器。Westerhof 在2016年12月向該公司發(fā)布了報(bào)告,SMA邀請他討論他的發(fā)現(xiàn)。不幸的是,六月后什么都沒有改變,SMA 還沒有解決問題。
Westerhof 已經(jīng)發(fā)布了漏洞的詳細(xì)分析以及攻擊場景。根據(jù)荷蘭報(bào)紙 Volkskrant的報(bào)導(dǎo),Westerhof 聲稱,安全漏洞影響歐洲電網(wǎng)中數(shù)以千計(jì)的互聯(lián)網(wǎng)連接的逆變器。
31502422072570601.png "solar-panel-cyber-attacks (2)31502422072570601.png")
這項(xiàng)研究名為Horus Scenario,由研究由德國安全工程師Willem Westerhof完成。該研究已在SMA售出的光伏面板中找到了21個漏洞。其中14個漏洞已獲取CVE編號。
Westerhof表示,他曾在2016年12月私下向SMA披露了這些漏洞。他還在2017年1月向特定政府機(jī)關(guān)和電網(wǎng)監(jiān)管機(jī)構(gòu)透露了光伏逆變器遭受攻擊的理論和實(shí)踐細(xì)節(jié)。
漏洞尚未修復(fù)
Westerhof聯(lián)系SMA已經(jīng)有8個月,漏洞仍未被修復(fù)。此頁面包含每個漏洞的信息。漏洞范圍從容易利用的拒絕服務(wù)漏洞到簡單的默認(rèn)密碼(0000)。一些漏洞需要本地訪問才能利用,但其他一些漏洞允許通過互聯(lián)網(wǎng)連接進(jìn)行遠(yuǎn)程利用。
出于道德和安全原因,該研究員拒絕提供技術(shù)細(xì)節(jié)和概念驗(yàn)證利用代碼。他還將在SHA2017(在荷蘭召開的非盈利的黑客室外大會)上發(fā)表他的研究成果。
SMA發(fā)言人沒有對此事發(fā)表評論。SMA漏洞列表如下:
CVE-2017-9851
CVE-2017-9852
CVE-2017-9853
CVE-2017-9854
CVE-2017-9855
CVE-2017-9856
CVE-2017-9857
CVE-2017-9858
CVE-2017-9859
CVE-2017-9860
CVE-2017-9861
CVE-2017-9862
CVE-2017-9863
CVE-2017-9864
攻擊者可以直接關(guān)閉逆變器 導(dǎo)致大面積停電
專家假設(shè)的攻擊場景令人不安,它認(rèn)為黑客可以控制大量的逆變器并同時關(guān)閉它們。在歐洲的大部分地區(qū), 這種攻擊會造成大規(guī)模停電。根據(jù) Westerhof 的一項(xiàng)研究, 脆弱的太陽能電池板管理著大約17瓦的電能,顯然,成功的網(wǎng)絡(luò)攻擊可能會產(chǎn)生災(zāi)難性的影響。
Volkskrant 報(bào)告說,在 2006年,德國停電后,超過1000萬人被留在黑暗中。許多重要城市都受到了停電的影響,其中包括巴黎和馬德里因那次事故而經(jīng)歷了無電的幾小時。
德國電網(wǎng)不得不處理五瓦特的短缺,而 Westerhof 提出的攻擊場景可能造成17瓦特的短缺,超過三倍。SMA 解釋說,逆變器使用了正確的安全措施,該公司還告訴 Volkskrant 的記者,這些漏洞只影響有限的產(chǎn)品范圍。制造商還證實(shí),其工程師正在進(jìn)行技術(shù)修正工作。
真正的損害并不來自太陽能電廠老板的生產(chǎn)和金錢損失,而來自對毫無準(zhǔn)備的電網(wǎng)本身的沖擊。例如,像德國這樣的國家,光伏面板供電能滿足30%到50%的電力需求。Westerhof解釋說:“在恰當(dāng)?shù)臅r機(jī)對這個電網(wǎng)發(fā)動攻擊,能去掉這個國家50%的供電能力。這幾乎會立刻導(dǎo)致大面積(全國范圍的,甚至可能因電網(wǎng)交織而導(dǎo)致全歐洲大陸的)停電。”
這是因?yàn)槟芰繜o法被無限存儲。供應(yīng)新電量來支撐不可預(yù)見的突發(fā)事件(比如一次網(wǎng)絡(luò)攻擊)需要時間。Westerhof補(bǔ)充說:“對電力監(jiān)管機(jī)構(gòu)來說,每時每刻都保持這樣大量的電力平衡成本太高了。甚至不可能有這樣大量的、能立刻觸發(fā)的電力儲備。因?yàn)殡姀S需要相當(dāng)長的時間來增加或減少他們的總電量輸出。”
來源:安全加
北京市公安局海淀分局備案號:11010802023656號