Centenas de sistemas de monitoramento de energia solar são vulneráveis a um trio de vulnerabilidades críticas de execução remota de código (RCE). Os hackers por trás da botnet Mirai e até amadores já começaram a tirar vantagem, e outros virão, preveem os especialistas.
Os pesquisadores da Unidade 42 da Palo Alto Networks descobriram anteriormente que a botnet Mirai está se espalhando por meio do CVE-2022-29303, uma falha de injeção de comando no software da série SolarView desenvolvido pela fabricante Contec. De acordo com o site da Contec, o SolarView já foi usado em mais de 30 mil usinas de energia solar.
Na quarta-feira, a empresa de inteligência de vulnerabilidades VulnCheck apontou em uma postagem de blog que a CVE-2022-29303 é uma das três vulnerabilidades críticas no SolarView, e é mais do que apenas os hackers Mirai visando eles.
“O pior cenário provavelmente é perder a visibilidade do equipamento que está sendo monitorado e ter algo quebrando”, explica Mike Parkin, engenheiro técnico sênior da Vulcan Cyber. Também é teoricamente possível, no entanto, que “o invasor seja capaz de alavancar o controle do sistema de monitoramento comprometido para causar danos maiores ou se aprofundar no ambiente”.
Três buracos do tamanho do ozônio no SolarView
O CVE-2022-29303 é gerado a partir de um ponto de extremidade específico no servidor Web SolarView, confi_mail.php, que não consegue limpar suficientemente os dados de entrada do usuário, permitindo a maldade remota. No mês em que foi lançado, o bug recebeu alguma atenção de blogueiros de segurança, pesquisadores e um youtuber que mostrou a exploração em uma demonstração de vídeo ainda acessível ao público. Mas não foi o único problema dentro do SolarView.
Por um lado, há CVE-2023-23333, uma vulnerabilidade de injeção de comando totalmente semelhante. Este afeta um endpoint diferente, downloader.php, e foi revelado pela primeira vez em fevereiro. E há o CVE-2022-44354, publicado no final do ano passado. CVE-2022-44354 é uma vulnerabilidade de upload irrestrito de arquivos que afeta ainda um terceiro ponto de extremidade, permitindo que invasores carreguem shells da Web PHP para sistemas de destino.
O VulnCheck observou que esses dois endpoints, como confi_mail.php, “parecem gerar acessos de hosts maliciosos no GreyNoise, o que significa que eles também provavelmente estão sob algum nível de exploração ativa”.
Todas as três vulnerabilidades receberam pontuações CVSS “críticas” de 9,8 (de 10).
Qual o tamanho de um problema cibernético são os bugs do SolarView?
Somente instâncias do SolarView expostas à Internet correm risco de comprometimento remoto. Uma rápida pesquisa do VulnCheck revelou 615 casos conectados à Web aberta até este mês.
É aí, diz Parkin, que começa a dor de cabeça desnecessária. “A maioria dessas coisas é projetada para ser operada dentro de um ambiente e não deve precisar de acesso da Internet aberta na maioria dos casos de uso”, diz ele. Mesmo onde a conectividade remota é absolutamente necessária, há soluções alternativas que podem proteger os sistemas IoT das partes assustadoras da Internet mais ampla, acrescenta. “Você pode colocá-los todos em suas próprias redes locais virtuais (VLANs) em seus próprios espaços de endereço IP e restringir o acesso a eles a alguns gateways ou aplicativos específicos, etc.”
As operadoras podem correr o risco de permanecer on-line se, pelo menos, seus sistemas forem corrigidos. Notavelmente, no entanto, 425 desses sistemas SolarView voltados para a Internet — mais de dois terços do total — estavam executando versões do software sem o patch necessário.
Pelo menos quando se trata de sistemas críticos, isso pode ser compreensível. “A IoT e os dispositivos de tecnologia operacional costumam ser muito mais desafiadores de atualizar em comparação com seu PC ou dispositivo móvel típico. Às vezes, a administração faz a escolha de aceitar o risco, em vez de tirar seus sistemas do ar por tempo suficiente para instalar patches de segurança”, diz Parkin.
Todos os três CVEs foram corrigidos no SolarView versão 8.00.
FONTE: DARK READING