【ITBEAR】8月10日消息,近期,網絡安全公司Bitdefender發布了一份重要報告,揭示了寧波德業(Deye)公司生產的太陽能逆變器系統存在一系列嚴重安全漏洞。這些漏洞一旦被黑客利用,可能對地區電網的穩定性造成重大影響,甚至引發大規模的電力中斷或基礎設施過載爆炸事故,后果不堪設想。
報告顯示,寧波德業公司的太陽能逆變器系統在全球190多個國家廣泛應用,覆蓋了多達1000萬座發電設施,合計發電量可達19.5億千瓦,這一數字占據了全球太陽能發電總量的五分之一,顯示出其市場占有率的龐大以及對全球能源供應的潛在影響。
據ITBEAR了解,Bitdefender發現的漏洞主要與多項憑據(Token)管理不當密切相關。黑客可以通過至少四種途徑獲取逆變器系統的最高管理權限,進而篡改逆變器的配置。具體漏洞包括:OAuth身份驗證漏洞,允許攻擊者為任意用戶生成有效憑證,接管用戶賬戶;憑證重復使用漏洞,意味著在一家公司平臺上簽署的憑證能在另一家公司平臺上使用,增加了黑客攻擊的范圍;過度信息暴露問題,平臺的某些API端點泄露了過多的企業組織信息,如電子郵件地址和電話號碼,便于黑客實施社交工程攻擊;以及硬編碼賬號問題,設備內部存在一個擁有最高權限但密碼無法修改的硬編碼賬號,為黑客提供了直接訪問所有設備的途徑。
Bitdefender強調,這些漏洞的曝光凸顯了關鍵基礎設施在網絡安全方面的薄弱環節,尤其是像太陽能發電系統這樣容易被忽視的領域。為防止潛在的黑客攻擊,相關廠商和用戶必須立即采取行動,修補漏洞并加強安全防護措施。幸運的是,Bitdefender已將相關漏洞報告給寧波德業公司,而德業公司也已迅速響應,采取措施修補了這些漏洞,有效降低了潛在的安全風險。
