Bitdefender hat mehrere Schwachstellen in den Management-Plattformen für Photovoltaik-Anlagen von Solarman sowie in der DEYE-Plattform zur Kontrolle von Wechselrichtern entdeckt. Diese schlossen die beiden Unternehmen erst jetzt im Juli 2024. Gekoppelt hätten die geschlossenen Schwachstellen Hackern die volle Kontrolle auf die Inverter-Konfiguration ermöglicht. Bis dahin konnten die Angreifer die vollständige Kontrolle über die Konfiguration eines Wechselrichters erlangen, Autorisierungstoken mehrfach verwerten oder auch Daten ausspionieren. Weitere Konsequenz wären Spannungsschwankungen im Stromnetz bis hin zu Stromausfällen gewesen.
Ein Fix in den Programmierschnittstellen der Plattformen durch die Hersteller hat die Schwachstellen behoben. Der DEYE-Wechselrichter ist Bitdefender zufolge nur ein Beispiel für ein anfälliges Gerät, das mit der von Bitdefender getesteten Solarman-Plattform verbunden ist. Solarman arbeitet mit einer Reihe von Partnern zusammen, die potenziell von ähnlichen Lücken betroffen sein könnten. Bitdefender vermutet, dass diese Partner im Rahmen der Plattformwartung ein solches Problem überprüfen und beheben werden.
Der Solarman Data Logger und der DEYE-Wechselrichter zeigten in der Analyse der Bitdefender Labs mehrere Schwachstellen, die auch zum Stromausfall hätten führen können. Die Bitdefender Labs konnten Zugang zu normalen und zu Business-Nutzerkonten der Solarman-Plattform erlangen. Ein Geschäftsaccount ermöglichte es, die Spannung und die Frequenz des Stroms zu modifizieren und andere Konfigurationsdetails zu kontrollieren.
„Die bis vor wenigen Wochen bestehenden Schwachstellen in Plattformen zum Management von Photovoltaik-Anlagen von Solarman sowie in Plattformen der auch in Deutschland erhältlichen DEYE-Wechselrichter hätte nicht nur Hackern die Kontrolle über Photovoltaik-Anlagen ermöglicht. So hätten Cyberkriminelle auch Stromausfälle erzeugen können: Durch Unterbrechen der Stromversorgung und damit einhergehende Spannungsschwankungen im Gerät“, sagte Bogdan Botezatu, Director of Threat Research bei Bitdefender. „Der Vorfall zeigt, dass das Internet of Things längst kein exotischer Schauplatz mehr für Hacker ist, um eine DDoS-Attacke zu starten, sondern ein Bestandteil der kritischen Infrastrukturen: Solarman verwaltet mehrere Millionen Installationen, die rund 20 Prozent der gesamten weltweiten Sonnenenergie erzeugen. Nutzern und Betreibern wird dringend geraten, zu überprüfen, ob sie die aktuelle Softwareversion für ihre Plattform und für die DEYE-Wechselrichter verwenden.“
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…
Das Datenleck betrifft den Kreditvergleich. Unbefugte haben zwischenzeitlich Zugriff auf die Kreditvergleiche anderer Kunden.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…