Podatności sprzed dekady nadal narażają farmy OZE na cyberataki

W Deep Specter przeprowadzono śledztwo, które dotyczyło obecnych od wielu lat podatności w systemach zarządzania i monitorowania farm fotowoltaicznych i wiatrowych. A dokładnie kontrolerów Meteocontrol WEB’log. Podłączone do publicznej sieci pozwalają każdemu na otwarcie ukrytego panelu administracyjnego, kradzież hasła i zmianę ustawień elektrowni.

Autorzy nazwali to „czerwonym przyciskiem”, który dostępny w internecie może spowodować ogromne szkody. Za pośrednictwem nieautoryzowanego dostępu można m.in. zatrzymać turbiny, przeciążyć falowniki lub spowodować awarię zasilania w całym regionie.

Zignorowanie podatności to zaproszenie dla hakera

Jak wskazuje Deep Specter naruszenie systemów elektrowni wiatrowych z wykorzystaniem zidentyfikowanych podatności może mieć poważne skutki.

Haker, dzięki połączeniu kontrolera z internetem, jest w stanie przeprowadzić atak np. za pomocą wirusa czy exploita. Po jego przejęciu może skutecznie wysyłać błędne polecenia, wgrywać złośliwe aktualizacje oraz zakłócać pracę turbin, przełączników czy systemu zasilania.

W momencie, gdy urządzenie zostaje podłączone do Internetu, air-gap (czyli bariera, która powinna chronić przed zdalnym atakiem) przestaje działać. PCU+ (Power Control Unit Plus) łączy się z Internetem, aby pobierać informacje pogodowe, umożliwiać zdalny monitoring czy aktualizację oprogramowania. Jednocześnie sieć operacyjna (OT) zostaje przyłączona do Internetu za pośrednictwem PCU+, który jest z nią bezpośrednio połączony. Jak podkreśla Deep Specter, wiele operatorów błędnie zakłada, że OT jest odseparowana, bo PCU+ przełamuje tę izolację. W efekcie zdalny dostęp do fizycznych urządzeń staje się możliwy.

Krytyczne luki w systemach zostały zapomniane

Podatności w tych systemach zostały zgłoszone już w 2016 roku. Są one łatwe do wykorzystania przez atakującego, a mają one poważny charakter gdyż są oceniane w skali CVSS na 9.4 oraz 9.8.

Deep Specter wyróżnił trzy podatności, które występują w tych systemach:

• CVE-2016-2296:  - domyślnym hasłem logowania jest „ist02", nie jest ono wymagane w przypadku braku poufnych stron konfiguracyjnych, co pozwala m.in. na dostęp do konfiguracji protokołu MODBUS (protokół komunikacyjny) i wprowadzanie w nim zmian.
• CVE-2016-2297: - zapewnia dostęp do ograniczonej powłoki CMD
• CVE-2016-2298: - wyświetla hasło administratora w postaci zwykłego tekstu

Jak podkreślają autorzy śledztwa, urządzenia Meteocontrol WEB’log (kontrolery) to „mózg” farm słonecznych. Firma nie zaleca podłączania tych urządzeń do internetu, mimo to jest wiele przypadków takiego działania.

Kilkaset zagrożonych urządzeń

Jak wskazuje Deep Specter, łączna liczba urządzeń w UE wynosi 500 spośród 822 na całym świecie:

• Japonia: 22
• Stany Zjednoczone: 15
• Wielka Brytania: 10
• Australia: 1
• Rosja: 2
• Chiny: 1

Obecnie odnawialne źródła energii zyskują na znaczeniu i farmy wiatrowe czy fotowoltaiczne zasilają wiele kluczowych podmiotów: fabryki, szpitale, miasta. Tak łatwa ingerencja w systemy i manipulacja nimi może doprowadzić do blackoutu w regionie czy np. sabotowania infrastruktury, której koszty naprawy są wysokie.