Miljoen omvormers zonnepanelen via gelekt wachtwoord kwetsbaar voor sabotage

Miljoen omvormers zonnepanelen via gelekt wachtwoord kwetsbaar voor sabotage

Zo’n miljoen omvormers van zonnepanelen waren door een gelekt super-adminwachtwoord kwetsbaar voor sabotage, zo hebben onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekt. Tenminste 42.000 van de omvormers van fabrikant Solarman bevinden zich in Nederland.

Solarman levert apparatuur en een platform om de energie opgewekt via lokale zonnepanelen te monitoren en zo mogelijk terug te leveren aan het stroomnet. Onderzoeker Jelle Ursem van het DIVD ontdekte een GitHub-repository met daarin een gebruikersnaam en wachtwoord om als superadmin op het beheerpaneel van Solarman in te loggen. Zo was het mogelijk om gegevens van duizenden Nederlandse gebruikers te zien, zoals namen en adressen.

Met het wachtwoorden konden ook klanten worden aangemaakt en verwijderd en gegevens ingezien, waaronder de hoeveelheid opgewekte stroom, of de panelen aan het internet verbonden waren, of er storingen in het systeem waren en gps-coördinaten.

Via het beheerdersaccount was het ook mogelijk om malafide firmware naar de omvormers te uploaden, wat volgens het DIVD mogelijk desastreuze gevolgen voor het wereldwijde elektriciteitsnetwerk zou kunnen hebben. “Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn”, aldus de organisatie.

GitHub

GitHub is een populair platform voor softwareontwikkelaars die daar samen aan projecten kunnen werken. In het geval van Solarman was de repository met software openbaar. Op 5 augustus 2019 werd het super-adminwachtwoord voor de eerste keer toegevoegd. Het DIVD waarschuwde Solarman op 17 april 2021 voor de gevonden inloggegevens, waarna een week later het wachtwoord werd gewijzigd.

Op 3 februari van dit jaar ontdekte Ursem dat het super-adminwachtwoord weer was hersteld naar het oude wachtwoord dat in de GitHub-repository stond. Een aantal dagen later werden Solarman en het National Cyber Security Centrum (NCSC) gewaarschuwd. Het NCSC benaderde zelfs de ambassade in China om de situatie opgelost te krijgen. Het DIVD informeerde op 17 juni het Chinese consulaat in Den Haag waarna er een contact werd gegeven bij het Chinese Computer Network Emergency Response Technical Team. Uiteindelijk werd op 2 juli het super-adminaccount gesloten en de GitHub-respository verwijderd. Het DIVD presenteerde het onderzoek tijdens May Contain Hackers 2022 in Zeewolde.

Bron: https://www.security.nl/posting/762224/Miljoen+omvormers+zonnepanelen+via+gelekt+wachtwoord+kwetsbaar+voor+sabotage?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.