黑客可攻击瘫痪千万座供电基础设施，安全公司曝光宁波德业公司太阳能逆变器系统存漏洞

黑客可攻击瘫痪千万座供电基础设施，黑客痪千安全公司曝光宁波德业公司太阳能逆变器系统存漏洞 2024年08月10日 14:40 IT之家 新浪财经APP 缩小字体 放大字体 收藏 微博 微信 分享 腾讯QQ QQ空间

IT之家 8 月 10 日消息，可攻安全公司 Bitdefender 发布报告披露宁波德业（Deye）公司生产的击瘫基础太阳能逆变器系统存在严重漏洞，黑客可利用这些漏洞对地区电网稳定性产生影响，供电公司公司甚至可造成大规模电力中断或基础设施过载爆炸事故。设施

据悉，安全宁波德业公司生产的曝光太阳能逆变器系统销售遍布全球 190 多个国家，涵盖多达 1000 万座发电设施，宁波能逆合计可产生 19.5 亿千瓦的德业洞电力，占全球太阳能发电总量的太阳五分之一。

IT之家查询获悉，变器Bitdefender 发现的系统漏洞主要与多项凭据（Token）管理不当有关，黑客可通过至少四种方式获得逆变器系统最高管理权，存漏对逆变器的黑客痪千配置进行篡改，具体漏洞如下：

• OAuth 身份验证漏洞：研究人员发现平台存在一个与 OAuth 身份验证相关的可攻 API 端点漏洞，攻击者可以利用此漏洞为任意用户生成有效凭证，从而接管用户账户，并对逆变器的配置进行篡改。

• 凭证重复使用漏洞：研究人员发现该公司云端平台签署的凭证在另一家太阳能产品公司 Solarman 的平台上也能够直接使用，这意味着攻击者可以利用同一凭证完全访问具有相同 ID 的用户账户。如果用户未采取适当的隔离措施，这种情况可能导致黑客利用一项凭据侵入两家公司的平台。

• 过度信息暴露：平台的某些 API 端点回传过多的企业组织信息，容易泄露电子邮件地址和电话号码等个人信息，黑客可借此利用社工手段掌握太阳能发电装置的地理位置和发电能力等信息。

• 硬编码账号：宁波德业生产的设备内部存在一个特定密码的硬编码账号，该账号拥有最高权限，但密码却无法修改，黑客可以直接利用相关密码以最高权限访问所有设备。