Das Portal arsTechnica berichtet, das hunderte mit dem Internet verbundenen Geräte in Solarparks nach wie vor nicht gegen eine kritische und aktiv ausgenutzte Sicherheitslücke gepatcht sind. Angreifern können aus der Ferne leicht den Betrieb stören oder in den Anlagen Fuß fassen. Das Mirai Botnetz scheint die Lücke bereits auszunutzen.
Die Geräte, die von Contec mit Sitz in Osaka, Japan, unter dem Markennamen SolarView verkauft werden, helfen Menschen in Solaranlagen, die Menge an Strom zu überwachen, die sie erzeugen, speichern und verteilen. Laut Contec haben rund 30.000 Kraftwerke die Geräte eingeführt, die je nach Betriebsgröße und Art der eingesetzten Ausrüstung in unterschiedlichen Paketen erhältlich sind. Allerdings sind nur diese Solarparks aktuell bekannt. Das Problem wird in Zukunft weitere Parks und Anlagen anderer Hersteller betreffen.
Die ersten „hackbaren“ Solarparks
Suchanfragen auf Shodan zeigen, dass mehr als 600 von ihnen im offenen Internet erreichbar sind. So problematisch diese Konfiguration auch ist, sagten Forscher des Sicherheitsunternehmens VulnCheck am Mittwoch , mehr als zwei Drittel von ihnen haben noch kein Update installiert, das CVE-2022-29303 patcht , die Tracking-Bezeichnung für eine Schwachstelle mit einem Schweregrad von 9,8 von 10. Der Fehler entsteht dadurch, dass potenziell bösartige Elemente in den vom Benutzer bereitgestellten Eingaben nicht neutralisiert werden, was zu Remoteangriffen führt, die bösartige Befehle ausführen.
Das Sicherheitsunternehmen Palo Alto Networks sagte letzten Monat, dass die Schwachstelle von einem Betreiber von Mirai aktiv ausgenutzt werde, einem Open-Source-Botnetz, das aus Routern und anderen sogenannten Internet-of-Things-Geräten besteht. Die Gefährdung dieser Geräte könnte dazu führen, dass Einrichtungen, die sie nutzen, den Überblick über ihre Abläufe verlieren, was je nach Einsatzort der anfälligen Geräte schwerwiegende Folgen haben könnte.
Mirai-Botnetz nutzt viele IoT-Schwachstellen
Palo Alto Networks sagte, die Exploit-Aktivität für CVE-2022-29303 sei Teil einer breit angelegten Kampagne, die 22 Schwachstellen in einer Reihe von IoT-Geräten ausnutzte, um eine Marai-Variante zu verbreiten. Die Angriffe begannen im März und versuchten, mithilfe der Exploits eine Shell-Schnittstelle zu installieren, die eine Fernsteuerung von Geräten ermöglicht. Nach der Ausnutzung lädt ein Gerät die Bot-Clients herunter, die für verschiedene Linux-Architekturen geschrieben wurden, und führt sie aus. Obwohl es keine Hinweise darauf gibt, dass Angreifer CVE-2023-23333 aktiv ausnutzen, gibt es auf GitHub bereits mehrere Exploits.