Getty Images
Des centaines d’appareils exposés à Internet à l’intérieur des parcs solaires restent sans correctif contre une vulnérabilité critique et activement exploitée qui permet aux attaquants distants de perturber facilement les opérations ou de prendre pied à l’intérieur des installations.
Les appareils, vendus par Contec, basé à Osaka, au Japon, sous la marque SolarView, aident les personnes à l’intérieur des installations solaires à surveiller la quantité d’énergie qu’elles génèrent, stockent et distribuent. Contec indique qu’environ 30 000 centrales électriques ont introduit les appareils, qui se présentent sous différents packages en fonction de la taille de l’opération et du type d’équipement qu’elle utilise.
Les recherches sur Shodan indiquent que plus de 600 d’entre eux sont accessibles sur Internet ouvert. Aussi problématique que soit cette configuration, les chercheurs de la société de sécurité VulnCheck ont déclaré mercredi que plus des deux tiers d’entre eux n’ont pas encore installé de mise à jour qui corrige CVE-2022-29303, la désignation de suivi d’une vulnérabilité avec un indice de gravité de 9,8 sur 10. La faille provient de l’incapacité à neutraliser les éléments potentiellement malveillants inclus dans les entrées fournies par l’utilisateur, conduisant à des attaques à distance qui exécutent des commandes malveillantes.
La société de sécurité Palo Alto Networks a déclaré le mois dernier que la faille était activement exploitée par un opérateur de Mirai, un botnet open source composé de routeurs et d’autres appareils dits Internet des objets. La compromission de ces appareils pourrait entraîner une perte de visibilité des installations qui les utilisent sur leurs opérations, ce qui pourrait entraîner de graves conséquences selon l’endroit où les appareils vulnérables sont utilisés.
« Le fait qu’un certain nombre de ces systèmes soient connectés à Internet et que les exploits publics soient disponibles depuis suffisamment longtemps pour être intégrés à une variante Mirai n’est pas une bonne situation », a écrit le chercheur de VulnCheck, Jacob Baines. « Comme toujours, les organisations doivent être conscientes des systèmes qui apparaissent dans leur espace IP public et suivre les exploits publics pour les systèmes sur lesquels elles s’appuient. »
Baines a déclaré que les mêmes appareils vulnérables à CVE-2022-29303 étaient également vulnérables à CVE-2023-23333, une nouvelle vulnérabilité d’injection de commande qui a également un indice de gravité de 9,8. Bien qu’il n’y ait aucun rapport connu d’exploitation active, le code d’exploitation est accessible au public depuis février.
Des descriptions incorrectes pour les deux vulnérabilités sont l’un des facteurs impliqués dans les échecs des correctifs, a déclaré Baines. Les deux vulnérabilités indiquent que les versions 8.00 et 8.10 de SolarView sont corrigées contre CVE-2022-29303 et CVE-2023-293333. En fait, selon le chercheur, seule la version 8.10 est corrigée contre les menaces.
Palo Alto Networks a déclaré que l’activité d’exploitation pour CVE-2022-29303 fait partie d’une vaste campagne qui a exploité 22 vulnérabilités dans une gamme d’appareils IoT dans le but de diffuser une variante Marai. Les attaques ont commencé en mars et ont tenté d’utiliser les exploits pour installer une interface shell permettant de contrôler les appareils à distance. Une fois exploité, un appareil télécharge et exécute les clients bot qui sont écrits pour diverses architectures Linux.
Il y a des indications que la vulnérabilité a peut-être été ciblée encore plus tôt. Le code d’exploit est disponible depuis mai 2022. Cette vidéo du même mois montre un attaquant recherchant dans Shodan un système SolarView vulnérable, puis utilisant l’exploit contre celui-ci.
Bien qu’il n’y ait aucune indication que les attaquants exploitent activement CVE-2023-23333, il existe plusieurs exploits sur GitHub.
Il n’y a aucune indication sur le site Web de Contec concernant l’une ou l’autre des vulnérabilités et les représentants de l’entreprise n’ont pas immédiatement répondu aux questions envoyées par courrier électronique. Toute organisation utilisant l’un des appareils concernés doit effectuer la mise à jour dès que possible. Les organisations doivent également vérifier si leurs appareils sont exposés à Internet et, si c’est le cas, modifier leurs configurations pour s’assurer que les appareils ne sont accessibles que sur les réseaux internes.