46 Falhas Críticas Encontradas em Modelos de Inversores Solares de Marcas Líderes

Pesquisadores de segurança do Forescout Vedere Labs identificaram 46 vulnerabilidades críticas em inversores solares fabricados por três dos principais fabricantes de sistemas de energia solar: Sungrow, Growatt e SMA, que poderiam levar a medidas de emergência ou potenciais apagões.

Análise e Descobertas do Forescout

O Forescout analisou seis dos principais fornecedores globais de sistemas de energia solar: Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe e SMA. Eles descobriram 46 novas vulnerabilidades que afetam diferentes componentes em três fornecedores: Sungrow, Growatt e SMA.

Essas vulnerabilidades recém-descobertas mencionadas na pesquisa SUN:DOWN pelo Forescout Vedere Labs já foram corrigidas pelos fornecedores afetados.

Essas falhas poderiam ter potencialmente permitido que atores de ameaça executassem comandos arbitrários em dispositivos ou na nuvem do fornecedor, habilitassem a tomada de controle de contas, impactassem a estabilidade da rede e a privacidade dos usuários, ganhassem acesso à infraestrutura do fornecedor e assumissem o controle dos dispositivos dos proprietários de inversores.

“O impacto coletivo dos sistemas solares residenciais na confiabilidade da rede é muito significativo para ser ignorado — hospitais poderiam perder acesso a equipamentos críticos, famílias poderiam ficar sem aquecimento no inverno ou ar-condicionado em uma onda de calor, e empresas poderiam fechar”, disse Barry Mainz, CEO do Forescout.

“Atores de ameaça estão cada vez mais visando a infraestrutura crítica, tornando essencial levá-los a sério e proteger os sistemas de inversores solares antes que vulnerabilidades levem a interrupções no mundo real.”

De acordo com os pesquisadores, em média, mais de 10 novas vulnerabilidades foram divulgadas a cada ano nos últimos três anos. Das 93 vulnerabilidades divulgadas anteriormente, 80% são classificadas como alta ou crítica, com 32% delas tendo uma pontuação CVSS de 9.8 ou 10, sugerindo que os atacantes poderiam potencialmente obter controle total sobre um sistema afetado.

Os componentes mais comumente impactados são monitores solares, que representam 38% das vulnerabilidades relatadas, seguidos por backends de nuvem com 25%. Em contraste, os inversores solares em si são diretamente afetados em apenas 15% dos casos.

Os pesquisadores também descobriram que 53% dos fabricantes de inversores solares, 58% dos sistemas de armazenamento e 20% dos fabricantes de sistemas de monitoramento estão baseados na China, levantando preocupações sobre a dominância de componentes de energia solar fabricados no exterior.

Cenários Potenciais de Ciberataques em Redes de Energia

Um possível cenário de ataque envolve atores maliciosos obtendo nomes de usuários de contas, usando a função de redefinição de senha para sequestrar contas e, em seguida, utilizando as contas sequestradas para enviar comandos para alterar as configurações do inversor.

Se os atacantes assumirem o controle desses inversores, eles podem alterar suas configurações de saída de energia ou ligá-los e desligá-los de maneira coordenada como um botnet. Quando múltiplos inversores são sequestrados ao mesmo tempo, isso produz um grande efeito na geração de energia em uma rede. A extensão do dano depende de quanta energia de backup a rede possui e quão rapidamente ela pode ser ativada.

No contexto da rede elétrica europeia, pesquisas anteriores indicam que ganhar controle sobre 4.GW de geração de energia solar poderia reduzir a frequência da rede para 49Hz, acionando a necessidade de alívio de carga.

Dado que a Europa possui 270GW de capacidade instalada de energia solar, assumir o controle de apenas 2% dos inversores poderia ser suficiente para interromper a rede para os atacantes em um mercado dominado por Huawei, Sungrow e SMA.

“Sistemas de energia solar estão se tornando rapidamente elementos essenciais das redes elétricas em todo o mundo, mas falhas de segurança persistentes ameaçam tanto a estabilidade da rede quanto a segurança nacional”, disse Daniel dos Santos, chefe de pesquisa do Forescout Vedere Labs.

Implicações para a Indústria

A identificação dessas vulnerabilidades destaca a necessidade de medidas de segurança aprimoradas dentro da indústria de energia solar.

O Forescout recomenda que os fabricantes de dispositivos implementem práticas seguras de ciclo de vida de software, realizem testes de penetração regulares, implementem estratégias de segurança em profundidade usando firewalls de aplicativos da web e utilizem auditorias de terceiros de links de comunicação com base em padrões, como ETSI EN 303 645, Diretiva de Equipamentos de Rádio (RED) e Lei de Resiliência Cibernética (CRA).

Recomendações para Consumidores

Para mitigar quaisquer vulnerabilidades potenciais associadas ao equipamento de inversores de energia solar, os usuários são recomendados a atualizar regularmente o firmware de seus inversores, monitorar o desempenho de seus sistemas e manter uma comunicação aberta com os fabricantes, o que pode ajudar a mitigar riscos.