.
Getty Images
Centenas de dispositivos expostos à Internet dentro de fazendas solares permanecem sem correção contra uma vulnerabilidade crítica e ativamente explorada que torna mais fácil para invasores remotos interromper as operações ou obter uma posição dentro das instalações.
Os dispositivos, vendidos pela Contec, com sede em Osaka, no Japão, sob a marca SolarView, ajudam as pessoas dentro das instalações solares a monitorar a quantidade de energia que geram, armazenam e distribuem. A Contec diz que cerca de 30 mil usinas já introduziram os aparelhos, que vêm em diversas embalagens de acordo com o porte da operação e o tipo de equipamento utilizado.
Pesquisas no Shodan indicam que mais de 600 deles podem ser acessados na Internet aberta. Por mais problemática que seja essa configuração, pesquisadores da empresa de segurança VulnCheck disseram na quarta-feira, mais de dois terços deles ainda não instalaram uma atualização que corrige o CVE-2022-29303, a designação de rastreamento para uma vulnerabilidade com uma classificação de gravidade de 9,8 em 10. A falha decorre da falha em neutralizar elementos potencialmente maliciosos incluídos na entrada fornecida pelo usuário, levando a ataques remotos que executam comandos maliciosos.
A empresa de segurança Palo Alto Networks disse no mês passado que a falha estava sendo explorada ativamente por um operador do Mirai, um botnet de código aberto que consiste em roteadores e outros dispositivos chamados de Internet das Coisas. O comprometimento desses dispositivos pode fazer com que as instalações que os utilizam percam a visibilidade de suas operações, o que pode resultar em sérias consequências, dependendo de onde os dispositivos vulneráveis são usados.
“O fato de vários desses sistemas serem voltados para a Internet e de as explorações públicas estarem disponíveis há tempo suficiente para serem lançadas em uma variante do Mirai não é uma boa situação”, escreveu Jacob Baines, pesquisador do VulnCheck. “Como sempre, as organizações devem estar cientes de quais sistemas aparecem em seu espaço de IP público e rastrear exploits públicos para sistemas nos quais eles confiam.”
Baines disse que os mesmos dispositivos vulneráveis ao CVE-2022-29303 também eram vulneráveis ao CVE-2023-23333, uma vulnerabilidade de injeção de comando mais recente que também possui uma classificação de gravidade de 9,8. Embora não haja relatos conhecidos de exploração ativa, o código de exploração está disponível publicamente desde fevereiro.
Descrições incorretas para ambas as vulnerabilidades são um fator envolvido nas falhas do patch, disse Baines. Ambas as vulnerabilidades indicam que as versões 8.00 e 8.10 do SolarView são corrigidas contra CVE-2022-29303 e CVE-2023-293333. Na verdade, disse o pesquisador, apenas o 8.10 é corrigido contra as ameaças.
A Palo Alto Networks disse que a atividade de exploit para CVE-2022-29303 faz parte de uma ampla campanha que explorou 22 vulnerabilidades em uma variedade de dispositivos IoT em uma tentativa de espalhar uma variante Marai. Os ataques começaram em março e tentaram usar as explorações para instalar uma interface de shell que permite que os dispositivos sejam controlados remotamente. Uma vez explorado, um dispositivo baixa e executa os clientes bot que são escritos para várias arquiteturas Linux.
Há indícios de que a vulnerabilidade possivelmente estava sendo visada ainda mais cedo. O código de exploração está disponível desde maio de 2022. Este vídeo do mesmo mês mostra um invasor procurando em Shodan um sistema SolarView vulnerável e, em seguida, usando a exploração contra ele.
Embora não haja indicações de que os invasores estejam explorando ativamente o CVE-2023-23333, existem várias explorações no GitHub.
Não há orientação no site da Contec sobre nenhuma das vulnerabilidades e os representantes da empresa não responderam imediatamente às perguntas por e-mail. Qualquer organização que use um dos dispositivos afetados deve atualizar o mais rápido possível. As organizações também devem verificar se seus dispositivos estão expostos à Internet e, em caso afirmativo, alterar suas configurações para garantir que os dispositivos sejam acessíveis apenas em redes internas.
.
