黑客可攻击瘫痪千万座供电基础设施,安全公司曝光宁波德业公司太阳能逆变器系统存漏洞
黑客可攻击瘫痪千万座供电基础设施,黑客痪千安全公司曝光宁波德业公司太阳能逆变器系统存漏洞 2024年08月10日 14:40 IT之家 新浪财经APP 缩小字体 放大字体 收藏 微博 微信 分享 腾讯QQ QQ空间
IT之家 8 月 10 日消息,可攻安全公司 Bitdefender 发布报告披露宁波德业(Deye)公司生产的击瘫基础太阳能逆变器系统存在严重漏洞,黑客可利用这些漏洞对地区电网稳定性产生影响,供电公司公司甚至可造成大规模电力中断或基础设施过载爆炸事故。设施
据悉,安全宁波德业公司生产的曝光太阳能逆变器系统销售遍布全球 190 多个国家,涵盖多达 1000 万座发电设施,宁波能逆合计可产生 19.5 亿千瓦的德业洞电力,占全球太阳能发电总量的太阳五分之一。
IT之家查询获悉,变器Bitdefender 发现的系统漏洞主要与多项凭据(Token)管理不当有关,黑客可通过至少四种方式获得逆变器系统最高管理权,存漏对逆变器的黑客痪千配置进行篡改,具体漏洞如下:
OAuth 身份验证漏洞:研究人员发现平台存在一个与 OAuth 身份验证相关的可攻 API 端点漏洞,攻击者可以利用此漏洞为任意用户生成有效凭证,从而接管用户账户,并对逆变器的配置进行篡改。
凭证重复使用漏洞:研究人员发现该公司云端平台签署的凭证在另一家太阳能产品公司 Solarman 的平台上也能够直接使用,这意味着攻击者可以利用同一凭证完全访问具有相同 ID 的用户账户。如果用户未采取适当的隔离措施,这种情况可能导致黑客利用一项凭据侵入两家公司的平台。
过度信息暴露:平台的某些 API 端点回传过多的企业组织信息,容易泄露电子邮件地址和电话号码等个人信息,黑客可借此利用社工手段掌握太阳能发电装置的地理位置和发电能力等信息。
硬编码账号:宁波德业生产的设备内部存在一个特定密码的硬编码账号,该账号拥有最高权限,但密码却无法修改,黑客可以直接利用相关密码以最高权限访问所有设备。
- 最近发表
- 随机阅读
-
- 雷柏VT9 PRO游戏鼠标仅需168元限时优惠来袭
- 外媒:法军舰在红海救援行动中摧毁“满载炸药”无人艇,法军方发现场照片
- 外媒:法军舰在红海救援行动中摧毁“满载炸药”无人艇,法军方发现场照片
- 英国留学:在伦敦迎来人生的蜕变
- 人体工学电脑椅1458元!超值推荐
- 最低降至0.01元?多家公募下调申赎门槛
- 网下投资者打新规则将大改 科创板需600万市值
- 俄称“高加索”港遭袭渡轮已沉没
- 这款人体工学电脑椅只要2000多,原价4429元
- 雅思词汇解析(101)
- 揭秘|人形机器人“上岗”要过几道关?
- 卖一辆车亏6万多 雷军称很苦!小米汽车毛利率超特斯拉、中国同行:官方回应
- 11月8日上映!《红色一号:冬日行动》中国独家海报发布:强森“美队”联手
- 连续三天打破纪录!《黑神话:悟空》Steam在线人数破241万:周末冲击第一
- 一品红等6家药企集采串标 被列入违规名单
- 朝鲜外务省谴责韩美联合军演
- 中东部迎大范围降水 长江以北地区明起大幅降温
- 联合国秘书长呼吁俄乌双方确保核电站安全
- 卖一辆车亏6万多 雷军称很苦!小米汽车毛利率超特斯拉、中国同行:官方回应
- 玻利维亚取消办理落地工作签证
- 搜索
-
- 友情链接
-
- 日本原子力规制委员会:地震后四座核电站未发现异常情况
- 特朗普和哈里斯同意于9月10日进行辩论
- 中国女曲时隔16年再进奥运会决赛
- 川崎重工涉不正当交易 日本防卫省要求百家企业自查
- 加拿大女子公开赛考夫林领先首轮 阎菁刘瑞欣T23
- 媒体:批评掼蛋不能成为脱离实际的“道德狂欢”
- 考古学家发现1.2万年前日历:足以改写人类文明的历史
- 真的碎了!张本智和崩溃痛哭:若死能解脱 我不想活了
- 林雨薇复活赛小组第6无缘半决赛
- 巴黎奥运会女子3米板跳水:陈艺文昌雅妮晋级决赛
- 最有水平的教育方式:言迟,面缓,心静
- 德国总理重申不会向乌提供“金牛座”导弹
- 英特尔或被高通收购,双方已在谈判!曾经的芯片霸主如今“卖身续命”?
- 刚交付第14辆车不久,FF推出第二品牌!贾跃亭:为美国用户提供“两倍性能、一半价格”的爆款产品,售价公布!
- 外媒:消息人士称,以军在贝鲁特郊区的袭击目标是一名黎巴嫩真主党高级官员
- 暗中筹备至少15年,以色列被指制造黎巴嫩寻呼机爆炸事件
- 世卫组织:非洲今年以来出现逾2.5万例猴痘病例
- 国铁集团在京单位符合人社部528人,铁大人数最多,研究生321人
- 高通洽购英特尔?英特尔中国:对于传言,不予置评
- 发现身边的科学美,孩子物理学习有“诀窍”