Underc0de

Investigadores de ciberseguridad han identificado 46 vulnerabilidades críticas en inversores solares de Sungrow, Growatt y SMA, tres de los principales fabricantes del sector. Estas fallas podrían ser explotadas por atacantes para tomar control de dispositivos, ejecutar código de forma remota y comprometer plataformas en la nube, lo que representa una amenaza seria para la estabilidad de la red eléctrica y la privacidad de los usuarios.

Impacto de las Vulnerabilidades en Inversores Fotovoltaicos

Las fallas de seguridad detectadas permiten:

• Acceso no autorizado a plataformas en la nube
• Ejecución remota de código (RCE)
• Toma de control de dispositivos
• Divulgación de información confidencial

Posibles daños físicos y denegación de servicio

Un ataque bien coordinado podría afectar redes eléctricas mediante la manipulación de la generación y demanda de energía, generando cortes o desestabilización del suministro eléctrico.

Detalles Técnicos de las Vulnerabilidades

SMA: Ejecución Remota de Código en SunnyPortal

De las 46 vulnerabilidades detectadas, CVE-2025-0731 afecta específicamente a los productos de SMA. Esta falla permitiría a un atacante ejecutar código malicioso en sunnyportal.com, la plataforma de monitoreo de sistemas fotovoltaicos de la empresa, mediante la carga de archivos ASPX en el servidor web.

Growatt: Secuestro de Inversores a Través del Backend en la Nube

Los inversores de Growatt son particularmente vulnerables, ya que los atacantes pueden explotarlos sin necesidad de acceso físico, accediendo directamente desde la nube:

• Enumeración de usuarios sin autenticación mediante una API expuesta.
• Secuestro de cuentas explotando vulnerabilidades IDOR (referencias directas a objetos inseguras).
• Robo de credenciales mediante inyección de código JavaScript a través de vulnerabilidades XSS almacenadas.
• Toma de control del inversor, permitiendo activar o desactivar el dispositivo de forma remota.

Sungrow: Explotación de Múltiples Componentes Vulnerables

El secuestro de inversores Sungrow es más complejo debido a múltiples fallos en la arquitectura del proveedor:

• CVE-2024-50685, CVE-2024-50693 y CVE-2024-50686: Permiten obtener números de serie de los dongles de comunicación desde el backend.
• CVE-2024-50692: Uso de credenciales MQTT codificadas, lo que permite el control remoto del inversor.
• CVE-2024-50694, CVE-2024-50695 y CVE-2024-50698: Vulnerabilidades de desbordamiento de pila, que permiten ejecución remota de código en dongles conectados.

Ataques Masivos y Riesgos para la Red Eléctrica

Si un atacante compromete una flota de inversores, podría lanzar ataques a gran escala contra la red eléctrica. La manipulación coordinada de múltiples dispositivos podría:

• Reducir la generación de energía durante horas pico, provocando inestabilidad en la red.
• Afectar infraestructuras críticas, aumentando el riesgo de apagones masivos.
• Convertir los inversores en una botnet, utilizada para ataques distribuidos de denegación de servicio (DDoS).

En conclusión, las vulnerabilidades en los inversores solares de Sungrow, Growatt y SMA representan un riesgo significativo para la seguridad energética y cibernética. Se recomienda a los usuarios y empresas que implementen actualizaciones de seguridad, refuercen las configuraciones de acceso y monitoreen sus dispositivos para mitigar posibles ataques.

Fuente: https://www.bleepingcomputer.com/