Miljoen omvormers zonnepanelen via gelekt wachtwoord kwetsbaar voor sabotage
Zo'n één miljoen omvormers van zonnepanelen waren door een gelekt super-adminwachtwoord kwetsbaar voor sabotage, zo hebben onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekt. Tenminste 42.000 van de omvormers van fabrikant Solarman bevinden zich in Nederland.
Solarman levert apparatuur en een platform om de energie opgewekt via lokale zonnepanelen te monitoren en zo mogelijk terug te leveren aan het stroomnet. Onderzoeker Jelle Ursem van het DIVD ontdekte een GitHub-repository met daarin een gebruikersnaam en wachtwoord om als superadmin op het beheerpaneel van Solarman in te loggen. Zo was het mogelijk om gegevens van duizenden Nederlandse gebruikers te zien, zoals namen en adressen.
Met het wachtwoorden konden ook klanten worden aangemaakt en verwijderd en gegevens ingezien, waaronder de hoeveelheid opgewekte stroom, of de panelen aan het internet verbonden waren, of er storingen in het systeem waren en gps-coördinaten.
Via het beheerdersaccount was het ook mogelijk om malafide firmware naar de omvormers te uploaden, wat volgens het DIVD mogelijk desastreuze gevolgen voor het wereldwijde elektriciteitsnetwerk zou kunnen hebben. "Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn", aldus de organisatie.
GitHub
GitHub is een populair platform voor softwareontwikkelaars die daar samen aan projecten kunnen werken. In het geval van Solarman was de repository met software openbaar. Op 5 augustus 2019 werd het super-adminwachtwoord voor de eerste keer toegevoegd. Het DIVD waarschuwde Solarman op 17 april 2021 voor de gevonden inloggegevens, waarna een week later het wachtwoord werd gewijzigd.
Op 3 februari van dit jaar ontdekte Ursem dat het super-adminwachtwoord weer was hersteld naar het oude wachtwoord dat in de GitHub-repository stond. Een aantal dagen later werden Solarman en het National Cyber Security Centrum (NCSC) gewaarschuwd. Het NCSC benaderde zelfs de ambassade in China om de situatie opgelost te krijgen. Het DIVD informeerde op 17 juni het Chinese consulaat in Den Haag waarna er een contact werd gegeven bij het Chinese Computer Network Emergency Response Technical Team. Uiteindelijk werd op 2 juli het super-adminaccount gesloten en de GitHub-respository verwijderd. Het DIVD presenteerde het onderzoek tijdens May Contain Hackers 2022 in Zeewolde.
Inmiddels heb ik een unit besteld van Homewizard om de opbrengst te meten van mijn panelen zodat ik de omvormer zelf kan ontkoppelen van het internet. Geeft toch een wat "veiliger" gevoel
Niet dat ik bang ben voor chinezen, maar eerder bang voor de netbeheerders of stroomleveranciers..
Die hebben er voordeel bij, de fabrikant heeft alleen maar nadeel hiervan.
TheYOSH
geconcludeerd dat dit ook daadwerkelijk de situatie was en werden er maatregelen genomen.
Maar in vergelijkbare gevallen met apparatuur uit andere landen gebeurt er helemaal niks.
En ook met uitgelekte situaties waar er daadwerkelijk wat gevonden is, bijvoorbeeld een backdoor in Amerikaanse
apparatuur, gebeurt er niks. Niemand die adviseert geen spullen van dat merk meer te kopen.
De Amerikaanse firma SolarWinds zette ook eens het ftp wachtwoord van hun Orion software per ongeluk op Github. Het foutje leverde tussen 2019 en 2021 een gigantische aaneenschakeling van supply chain attacks op, die hun weerga in de geschiedenis niet kende. Ondanks de naam heeft SolarWinds gelukkig weinig met zonnepanelen van doen. Hoewel...?
https://www.security.nl/posting/704217/SolarWinds-ceo+maakt+excuses+voor+beschuldigen+van+stagiair
Dat is ongetwijfeld door een fout gebeurd. Hoewel het me een stuk code lijkt waar de wachtwoorden in een comment regel staan. Dat is dan de goden verzoeken dat het ooit mis gaat.
Wat veel erger was is dat men na het herstellen van de gevolgen van de fout, het oude gelekte wachtwoord weer in gebruik genomen heeft. Ik kan alleen maar gissen naar de reden. Ik zou gokken dat het aangepaste wachtwoord zoveel inlog problemen gaf dat men het oude weer terug gezet heeft omdat dit overal reeds ingebakken zat.
Philips Hue, Tradfri, echoputten(google alexa), ifttt, en al die andere home besturings gadgets.
Bediening met telefoon kan ook veilig door een tunnel naar de home router, dan zijn er geen publieke servers nodig.
Bijkomend voordeel je spullen blijven werken ook als de fabrikant de stekker er uit trekt.
Gelukkig is mijn omvormer niet kwetsbaar. Dus bedankt redactie voor deze waarschuwing en bedankt ook de veiligheidsonderzoekers die deze zaak aan het licht hebben gebracht!
---
John
https://www.volkskrant.nl/kijkverder/v/2022/wie-zijn-de-grootste-zonnepaneelbezitters-van-nederland~v553897/
Watermeter,
2012
Slimme energiemeter,
2014
Zonnepanelen.
Nou onze lieve mr timmermans heeft wel een oplossing
voor het probleem.
The Matrix
Verbaast mij niets meer, zo dom zijn ze hier.
Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.
Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.
Dat noemen ze gemakzucht.
* even alle omvormers doen uitzetten * - klik -
Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.
Dat is mi de kernvaststelling - dit had nooit zo mogen worden gebouwd. Dit soort anti-patterns zijn al heel lang bekend en serieuze ontwerpers en bouwers doen zoiets niet, en als ze het al proberen zouden ze in de threat model-fase van hun oplossing moeten worden afgevangen.
Het verschil tussen knutsel-software en professioneel ontwikkelen. Niet makkelijk, wel doenlijk.
Solarman levert monitoringdiensten voor meer merken (meest hier volstrekt onbekend chinees spul). Het probleem beperkte zich daardoor niet tot Omnik omvormers, al zullen die denk ik in Nederland wel de hoofdmoot vormen.
door Gerard Janssen, gepubliceerd op 26 juli 2022 op FTM.nl
https://www.cybercrimeinfo.nl/cybercrime/hacking/972550_het-verhaal-achter-tienduizenden-zonnepanelen-kwetsbaar
door Gerard Janssen, gepubliceerd op 26 juli 2022 op FTM.nl
https://www.cybercrimeinfo.nl/cybercrime/hacking/972550_het-verhaal-achter-tienduizenden-zonnepanelen-kwetsbaar
Recent artikel, en goed leesbaar. Met ook uitspraken van Willem Westerhof, die eind 2016 (!!) deze kwetsbaarheid al meldde bij het NCSC.
Een korte blik naar de historie. Security.nl heeft er ook regelmatig aandacht aan besteed:
https://www.security.nl/posting/711726/AT%3A+digitalisering+maakt+energienet+kwetsbaar+voor+cyberaanvallen
04 mei 2017:
https://nos.nl/artikel/2186382-ict-lek-zonnepanelen-mogelijke-bedreiging-europese-stroomvoorziening
"Eenmaal in het systeem kunnen hackers de omvormers op afstand uitzetten. Als dat bij alle zonnepanelen tegelijk gebeurt, kan het elektriciteitsnet in onbalans raken, met grote gevolgen. De stroom in een enorm gebied kan uitvallen, zegt Westerhof. "Dan gaat het niet om een wijkje, maar bijvoorbeeld om de helft van de stroomvoorziening in Duitsland."
04 augustus 2017:
https://www.qbit.nl/nl/blog/stroomnet-in-gevaar-door-kwetsbaarheid-in-zonnepanelen/
Het ontbreken van wetgeving en controle op de digitale veiligheid van dergelijke apparaten vormt een groot risico. “Certificering en verantwoording van particuliere bedrijven zou ook hoog op de politieke agenda moeten staan”, zegt Willem. De meeste (industriële) Internet of Things apparaten zijn puur ontwikkeld en ontworpen op basis van functionaliteit. Het veiligheidsaspect is niet opgenomen in het ontwerp. Als argument noemen fabrikanten het gebrek aan kennis, middelen en geld. Geld in de portemonnee lijkt in de toekomst de veiligheid te overtuigen. “Het hoeft maar één keer mis te gaan en dan wil men actie ondernemen.
Eind 2016 presenteerde ITsec de bevindingen van Willem aan de SMA, TenneT en het NCSC (Nationaal Cyber Security Centrum). Inmiddels is er meer dan een half jaar verstreken en is er weinig gebeurd, ondanks het feit dat volgens ITsec alle partijen hebben erkend dat er een probleem is.
05 augustus 2018:
https://eenvandaag.avrotros.nl/item/hacken-van-zonnepanelen-kan-leiden-tot-europese-stroomstoring/
Ook SMA zelf zou moeten stoppen met het gebruiken van ‘superwachtwoorden’, waarmee het bedrijf bijvoorbeeld eenvoudig op afstand een gebruiker kan helpen bij problemen met het apparaat. Als een hacker er één weet te achterhalen, heeft hij in een klap de controle over een groot aantal apparaten van SMA. Dergelijke ‘superwachtwoorden’ zouden ze alleen moeten gebruiken op basis van fysieke toegang, aldus de ethisch hacker.
04 mei 2021:
https://solarmagazine.nl/nieuws-zonne-energie/i24301/nieuwe-cybersecurity-eisen-voor-zonne-energiesector-maak-digitale-beveiliging-onderdeel-toekenning-subsidie
Kleine leveranciers zijn hier echter van uitgezonderd en vallen zo niet onder toezicht van het AT. "Deze kleine leveranciers komen elk niet boven de aanwijsdrempel uit, maar kunnen door de overeenkomstige risico's alsnog gezamenlijk een groter risico vormen op cyberaanvallen", laat de toezichthouder weten
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.