image

Miljoen omvormers zonnepanelen via gelekt wachtwoord kwetsbaar voor sabotage

maandag 25 juli 2022, 09:44 door Redactie, 23 reacties

Zo'n één miljoen omvormers van zonnepanelen waren door een gelekt super-adminwachtwoord kwetsbaar voor sabotage, zo hebben onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekt. Tenminste 42.000 van de omvormers van fabrikant Solarman bevinden zich in Nederland.

Solarman levert apparatuur en een platform om de energie opgewekt via lokale zonnepanelen te monitoren en zo mogelijk terug te leveren aan het stroomnet. Onderzoeker Jelle Ursem van het DIVD ontdekte een GitHub-repository met daarin een gebruikersnaam en wachtwoord om als superadmin op het beheerpaneel van Solarman in te loggen. Zo was het mogelijk om gegevens van duizenden Nederlandse gebruikers te zien, zoals namen en adressen.

Met het wachtwoorden konden ook klanten worden aangemaakt en verwijderd en gegevens ingezien, waaronder de hoeveelheid opgewekte stroom, of de panelen aan het internet verbonden waren, of er storingen in het systeem waren en gps-coördinaten.

Via het beheerdersaccount was het ook mogelijk om malafide firmware naar de omvormers te uploaden, wat volgens het DIVD mogelijk desastreuze gevolgen voor het wereldwijde elektriciteitsnetwerk zou kunnen hebben. "Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn", aldus de organisatie.

GitHub

GitHub is een populair platform voor softwareontwikkelaars die daar samen aan projecten kunnen werken. In het geval van Solarman was de repository met software openbaar. Op 5 augustus 2019 werd het super-adminwachtwoord voor de eerste keer toegevoegd. Het DIVD waarschuwde Solarman op 17 april 2021 voor de gevonden inloggegevens, waarna een week later het wachtwoord werd gewijzigd.

Op 3 februari van dit jaar ontdekte Ursem dat het super-adminwachtwoord weer was hersteld naar het oude wachtwoord dat in de GitHub-repository stond. Een aantal dagen later werden Solarman en het National Cyber Security Centrum (NCSC) gewaarschuwd. Het NCSC benaderde zelfs de ambassade in China om de situatie opgelost te krijgen. Het DIVD informeerde op 17 juni het Chinese consulaat in Den Haag waarna er een contact werd gegeven bij het Chinese Computer Network Emergency Response Technical Team. Uiteindelijk werd op 2 juli het super-adminaccount gesloten en de GitHub-respository verwijderd. Het DIVD presenteerde het onderzoek tijdens May Contain Hackers 2022 in Zeewolde.

Reacties (23)
25-07-2022, 09:53 door Anoniem
Net eens gekeken, maar het lijkt er op dat dit dan ook het geval is voor de Solis omvormers :-(

Inmiddels heb ik een unit besteld van Homewizard om de opbrengst te meten van mijn panelen zodat ik de omvormer zelf kan ontkoppelen van het internet. Geeft toch een wat "veiliger" gevoel
25-07-2022, 10:19 door Anoniem
Ik kan mijn opbrengst zien op mijn eigen systeem, van mij hangt geen zonnepaneel aan internet.
Niet dat ik bang ben voor chinezen, maar eerder bang voor de netbeheerders of stroomleveranciers..
Die hebben er voordeel bij, de fabrikant heeft alleen maar nadeel hiervan.
25-07-2022, 10:23 door Anoniem
Ongelooflijk dom een WW in GitHub-repository zetten.
25-07-2022, 10:24 door Anoniem
Maar dus de Chinezen kunnen onze zonnepanelen uitzetten op afstand. Lekker veilig gevoel, en waarom is dit dan geen probleem, en 5G zendmasten wel? Zonder stroom geen samenleving. Dus dit lijkt me ook zeer onwenselijk.

TheYOSH
25-07-2022, 10:31 door Anoniem
Door Anoniem: Maar dus de Chinezen kunnen onze zonnepanelen uitzetten op afstand. Lekker veilig gevoel, en waarom is dit dan geen probleem, en 5G zendmasten wel? Zonder stroom geen samenleving. Dus dit lijkt me ook zeer onwenselijk.
Het hele zendmasten verhaal is dom politiek geleuter. Er heeft iemand "stel, dat" geroepen en toen werd er meteen
geconcludeerd dat dit ook daadwerkelijk de situatie was en werden er maatregelen genomen.
Maar in vergelijkbare gevallen met apparatuur uit andere landen gebeurt er helemaal niks.
En ook met uitgelekte situaties waar er daadwerkelijk wat gevonden is, bijvoorbeeld een backdoor in Amerikaanse
apparatuur, gebeurt er niks. Niemand die adviseert geen spullen van dat merk meer te kopen.
25-07-2022, 11:41 door Anoniem
Door Anoniem: Ongelooflijk dom een WW in GitHub-repository zetten.

De Amerikaanse firma SolarWinds zette ook eens het ftp wachtwoord van hun Orion software per ongeluk op Github. Het foutje leverde tussen 2019 en 2021 een gigantische aaneenschakeling van supply chain attacks op, die hun weerga in de geschiedenis niet kende. Ondanks de naam heeft SolarWinds gelukkig weinig met zonnepanelen van doen. Hoewel...?

https://www.security.nl/posting/704217/SolarWinds-ceo+maakt+excuses+voor+beschuldigen+van+stagiair
25-07-2022, 11:41 door Briolet
Door Anoniem: Ongelooflijk dom een WW in GitHub-repository zetten.

Dat is ongetwijfeld door een fout gebeurd. Hoewel het me een stuk code lijkt waar de wachtwoorden in een comment regel staan. Dat is dan de goden verzoeken dat het ooit mis gaat.

Wat veel erger was is dat men na het herstellen van de gevolgen van de fout, het oude gelekte wachtwoord weer in gebruik genomen heeft. Ik kan alleen maar gissen naar de reden. Ik zou gokken dat het aangepaste wachtwoord zoveel inlog problemen gaf dat men het oude weer terug gezet heeft omdat dit overal reeds ingebakken zat.
25-07-2022, 11:53 door Anoniem
alles kan dus gehackermaned worden door domme fouten. not very slim van zonneman
25-07-2022, 12:20 door Anoniem
Dit was van een Duitse leverancier: https://horusscenario.com/ envoorzover ik destijds heb begrepen van de ontdekker was deze leverancier ook in het geheel niet meewerkend. Dat is in deze nieuwe ontdekking weer zo. Eigenlijk is dit nog wel het ergste, dat er nog steeds leveranciers zijn die geheel unresponse zijn over dit soort problemen. Daarom hebben wij nu, 8 jaar later, het er weer over, en in 2030 waarschijnlijk nog een keer.... security onderzoekers nemen aan dat het probleem wegggaat na een leuke talk op een con, en gaan dan weer door met het volgende probleem, maar verder gebeurt er niets.
25-07-2022, 12:27 door Anoniem
Compleet verkeerde benadering voor huis aanstringen.. Alles via servers van fabrikanten dus....
Philips Hue, Tradfri, echoputten(google alexa), ifttt, en al die andere home besturings gadgets.
Bediening met telefoon kan ook veilig door een tunnel naar de home router, dan zijn er geen publieke servers nodig.
Bijkomend voordeel je spullen blijven werken ook als de fabrikant de stekker er uit trekt.
25-07-2022, 12:30 door Anoniem
Nou, ik ben al blij dat er mensen zijn die wel hun verantwoordelijkheid nemen en ons komen waarschuwen.
Gelukkig is mijn omvormer niet kwetsbaar. Dus bedankt redactie voor deze waarschuwing en bedankt ook de veiligheidsonderzoekers die deze zaak aan het licht hebben gebracht!
25-07-2022, 14:18 door Anoniem
Ik lees mijn omvormers gewoon uit via het Modbus protocol, een stuk veiliger.

---
John
25-07-2022, 14:23 door Anoniem
Sinds 2017 is er een stormloop op subsidie voor zonnestroom. Met een pot van bijna 17 miljard euro is een geheel nieuwe bedrijfstak uit de grond gestampt. De grootste investeerders in zonnepanelen in Nederland blijken buitenlandse partijen en oude zakenfamilies. Met als koploper: de familie Brenninkmeijer, bekend van de C&A-winkels. Tussen alle eigenaren staan opmerkelijk genoeg weinig traditionele energiebedrijven. Alleen Eneco is eigenaar van zonnepanelen.

https://www.volkskrant.nl/kijkverder/v/2022/wie-zijn-de-grootste-zonnepaneelbezitters-van-nederland~v553897/
25-07-2022, 14:59 door Anoniem
Jaar 2000

Watermeter,

2012

Slimme energiemeter,

2014

Zonnepanelen.

Nou onze lieve mr timmermans heeft wel een oplossing
voor het probleem.

The Matrix
25-07-2022, 15:00 door Anoniem
Even het electriciteitsnet grillen.
Verbaast mij niets meer, zo dom zijn ze hier.
25-07-2022, 15:52 door Anoniem
Door Anoniem: Ongelooflijk dom een WW in GitHub-repository zetten.

Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.
25-07-2022, 17:24 door spatieman
Door Anoniem:
Door Anoniem: Ongelooflijk dom een WW in GitHub-repository zetten.

Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.

Dat noemen ze gemakzucht.

* even alle omvormers doen uitzetten * - klik -
25-07-2022, 17:36 door Anoniem
Door Anoniem:
Door Anoniem: Ongelooflijk dom een WW in GitHub-repository zetten.

Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.

Dat is mi de kernvaststelling - dit had nooit zo mogen worden gebouwd. Dit soort anti-patterns zijn al heel lang bekend en serieuze ontwerpers en bouwers doen zoiets niet, en als ze het al proberen zouden ze in de threat model-fase van hun oplossing moeten worden afgevangen.
Het verschil tussen knutsel-software en professioneel ontwikkelen. Niet makkelijk, wel doenlijk.
26-07-2022, 06:22 door Anoniem
Geen fan van iot, maar ieder apparaat op een eigen vlan is een aardig bezig.
26-07-2022, 07:30 door Roger63 - Bijgewerkt: 26-07-2022, 07:39
Tenminste 42.000 van de omvormers van fabrikant Solarman bevinden zich in Nederland.
Het betreft hier vooral omvormers van Omnik (Solarman maakt geen omvormers). Omnik ging failliet in 2020 en Solarman was hun leverancier voor het monitoringplatform. Na het faillissement heeft Solarman de data van de Omnikklanten overgezet naar hun eigen infrastructuur (in China kan dit kennelijk zomaar) om een alternatieve monitoringdienst aan te kunnen bieden.

Solarman levert monitoringdiensten voor meer merken (meest hier volstrekt onbekend chinees spul). Het probleem beperkte zich daardoor niet tot Omnik omvormers, al zullen die denk ik in Nederland wel de hoofdmoot vormen.

Door Anoniem: Ik lees mijn omvormers gewoon uit via het Modbus protocol, een stuk veiliger.
Bij omvormers van de betere leveranciers kan dat (ik doe het ook zo), maar bij Omnik omvormers is lokaal uitlezen helaas geen optie en dat geldt voor meer merken. Ook vereisen dit soort oplossingen technische kennis die 99% van de klanten niet heeft. Het is bepaald geen plug en play.

Door Anoniem: Ongelooflijk dom dat er überhaupt een master password is voor zoveel systemen.
Het gaat hier niet om een master password voor de omvormers, maar om het superadmin password van het monitoring platform. En met dat account ben je god over de aangesloten systemen.
05-08-2022, 12:15 door Anoniem
Het verhaal achter ‘Tienduizenden zonnepanelen kwetsbaar’g
door Gerard Janssen, gepubliceerd op 26 juli 2022 op FTM.nl

https://www.cybercrimeinfo.nl/cybercrime/hacking/972550_het-verhaal-achter-tienduizenden-zonnepanelen-kwetsbaar
05-09-2022, 12:17 door Anoniem
Door Anoniem: Het verhaal achter ‘Tienduizenden zonnepanelen kwetsbaar’g
door Gerard Janssen, gepubliceerd op 26 juli 2022 op FTM.nl

https://www.cybercrimeinfo.nl/cybercrime/hacking/972550_het-verhaal-achter-tienduizenden-zonnepanelen-kwetsbaar

Recent artikel, en goed leesbaar. Met ook uitspraken van Willem Westerhof, die eind 2016 (!!) deze kwetsbaarheid al meldde bij het NCSC.
Vanaf 2024 moeten ‘slimme’ apparaten, om op de Europese markt toegelaten te worden, voldoen aan een set minimum veiligheidseisen. Standaard wachtwoorden die voor elk apparaat gelden, mogen dan niet meer. Firmware updates zouden geverifieerd moeten worden op basis van authenticiteit en integriteit, zodat het moeilijker wordt er een valse update in te fietsen.
Klinkt goed, maar waarom duurt dit allemaal zo lang??

Een korte blik naar de historie. Security.nl heeft er ook regelmatig aandacht aan besteed:
https://www.security.nl/posting/711726/AT%3A+digitalisering+maakt+energienet+kwetsbaar+voor+cyberaanvallen

Waar heb ik dat eerder gelezen? Dit is toch een (heel) oud probleem?
04 mei 2017:
https://nos.nl/artikel/2186382-ict-lek-zonnepanelen-mogelijke-bedreiging-europese-stroomvoorziening
'Ict-lek zonnepanelen mogelijke bedreiging Europese stroomvoorziening'
"Eenmaal in het systeem kunnen hackers de omvormers op afstand uitzetten. Als dat bij alle zonnepanelen tegelijk gebeurt, kan het elektriciteitsnet in onbalans raken, met grote gevolgen. De stroom in een enorm gebied kan uitvallen, zegt Westerhof. "Dan gaat het niet om een wijkje, maar bijvoorbeeld om de helft van de stroomvoorziening in Duitsland."

04 augustus 2017:
https://www.qbit.nl/nl/blog/stroomnet-in-gevaar-door-kwetsbaarheid-in-zonnepanelen/
Willem Westerhof, ethische hacker bij Qbit (voorheen ITsec) ontdekte dat de stroomvoorziening in Europa ernstig in gevaar wordt gebracht door een kwetsbaarheid van zonnepanelen.
”Security by Design”
Het ontbreken van wetgeving en controle op de digitale veiligheid van dergelijke apparaten vormt een groot risico. “Certificering en verantwoording van particuliere bedrijven zou ook hoog op de politieke agenda moeten staan”, zegt Willem. De meeste (industriële) Internet of Things apparaten zijn puur ontwikkeld en ontworpen op basis van functionaliteit. Het veiligheidsaspect is niet opgenomen in het ontwerp. Als argument noemen fabrikanten het gebrek aan kennis, middelen en geld. Geld in de portemonnee lijkt in de toekomst de veiligheid te overtuigen. “Het hoeft maar één keer mis te gaan en dan wil men actie ondernemen.
Eind 2016 presenteerde ITsec de bevindingen van Willem aan de SMA, TenneT en het NCSC (Nationaal Cyber Security Centrum). Inmiddels is er meer dan een half jaar verstreken en is er weinig gebeurd, ondanks het feit dat volgens ITsec alle partijen hebben erkend dat er een probleem is.

05 augustus 2018:
https://eenvandaag.avrotros.nl/item/hacken-van-zonnepanelen-kan-leiden-tot-europese-stroomstoring/
Willem Westerhof van ITsec vindt dat SMA de gebruikers en installateurs van de omvormers technisch zou moeten dwingen het standaard wachtwoord te veranderen. Nu kon hij al eenvoudig inbreken door veelgebruikte standaard wachtwoorden, bijvoorbeeld ‘0000’ te gebruiken.
Ook SMA zelf zou moeten stoppen met het gebruiken van ‘superwachtwoorden’, waarmee het bedrijf bijvoorbeeld eenvoudig op afstand een gebruiker kan helpen bij problemen met het apparaat. Als een hacker er één weet te achterhalen, heeft hij in een klap de controle over een groot aantal apparaten van SMA. Dergelijke ‘superwachtwoorden’ zouden ze alleen moeten gebruiken op basis van fysieke toegang, aldus de ethisch hacker.
Dit is een analoog probleem aan het recente RDP lek?? Een “superwachtwoord” en een “superuser” is toch eigenlijk een gewoon een backdoor, omdat de eigenaar / gebruiker deze niet ziet in zijn contactenlijst??

04 mei 2021:
https://solarmagazine.nl/nieuws-zonne-energie/i24301/nieuwe-cybersecurity-eisen-voor-zonne-energiesector-maak-digitale-beveiliging-onderdeel-toekenning-subsidie
Een wijziging van de Wet Beveiliging Netwerk- en Informatiesystemen, alias Wet cybersecurity, zorgt ervoor dat een aantal grote zonne-energiebedrijven vanaf 1 juni 2021 aan strenge cybersecurity-eisen moet voldoen.
Leveranciers van (kleine) zonnestroom omvormers hoeven de (lekke) software dus (nog steeds niet) te updaten naar een veiliger versie?? Jan de Particulier weet dus niet of zijn omvormer onderdeel is van een botnet??

Dit artikel
Kleine leveranciers zijn hier echter van uitgezonderd en vallen zo niet onder toezicht van het AT. "Deze kleine leveranciers komen elk niet boven de aanwijsdrempel uit, maar kunnen door de overeenkomstige risico's alsnog gezamenlijk een groter risico vormen op cyberaanvallen", laat de toezichthouder weten
Ja, precies dat. Maar wat gaan we er nu (eindelijk na zoveel jaren) aan doen??
18-09-2022, 23:11 door Anoniem
wij hebben geen zonnepanelen maar de buren wel
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.