El portal arsTechnica informa que cientos de dispositivos conectados a Internet en parques solares aún no están parcheados contra una vulnerabilidad crítica y explotada activamente. Los atacantes pueden interrumpir fácilmente las operaciones desde la distancia o afianzarse en los sistemas. La botnet Mirai ya parece estar explotando la vulnerabilidad.
Los dispositivos, vendidos bajo la marca SolarView por Contec con sede en Osaka, Japón, ayudan a las personas en los paneles solares a controlar la cantidad de electricidad que generan, almacenan y distribuyen. Según Contec, alrededor de 30.000 centrales eléctricas han introducido los dispositivos, que están disponibles en diferentes paquetes según el tamaño de la operación y el tipo de equipo utilizado. Sin embargo, actualmente solo se conocen estos parques solares. El problema afectará a otros parques y sistemas de otros fabricantes en el futuro.
Los primeros parques solares “hackeables”
Las búsquedas en Shodan muestran que se puede acceder a más de 600 de ellos en Internet abierto. A pesar de lo problemática que es esta configuración, dijo Investigadores de la empresa de seguridad VulnCheck el miércoles, más de dos tercios de ellos todavía no han instalado una actualización que corrige CVE-2022-29303, la designación de seguimiento para una vulnerabilidad con una gravedad de 9,8 de 10. La falla surge de elementos potencialmente maliciosos en el usuario. las entradas suministradas no se neutralizan, lo que genera ataques remotos que ejecutan comandos maliciosos.
La firma de seguridad Palo Alto Networks dijo el mes pasado que la vulnerabilidad estaba siendo explotada activamente por un operador de Mirai, una red de bots de código abierto compuesta por enrutadores y otros dispositivos llamados Internet de las cosas. El compromiso de estos dispositivos podría hacer que las instalaciones que los usan pierdan el seguimiento de sus operaciones, lo que podría tener graves consecuencias dependiendo de dónde se implementen los dispositivos vulnerables.
La botnet Mirai explota muchas vulnerabilidades de IoT
Palo Alto Networks dijo que la actividad de explotación CVE-2022-29303 es parte de una campaña más amplia que explotó 22 vulnerabilidades en una gama de dispositivos IoT para propagar una variante de Marai. Los ataques comenzaron en marzo e intentaron usar los exploits para instalar una interfaz de shell que permite el control remoto de dispositivos. Después de la explotación, un dispositivo descarga y ejecuta los clientes de bot escritos para varias arquitecturas de Linux. Aunque no hay evidencia de que los atacantes estén explotando activamente CVE-2023-23333, ya hay varios exploits en GitHub.