網(wǎng)絡(luò)安全公司Bitdefender近日披露了兩大廣泛使用的太陽能管理平臺中的重大安全漏洞，攻擊者可造成大規(guī)模停電并破壞電力分配系統(tǒng)，可能影響全球20%的光伏發(fā)電，涉及190多個國家和地區(qū)的200多萬個光伏電站。

可導(dǎo)致全球范圍停電

根據(jù)Bitdefender發(fā)布的新報告，這些漏洞存在于Solarman和Deye這兩大平臺中。Solarman是一個主要的光伏（PV）電站管理平臺，而Deye則是一個太陽能逆變器平臺。這兩個平臺相互連接，一旦漏洞被利用，攻擊者可能會控制逆變器設(shè)置，從而導(dǎo)致全球范圍內(nèi)的停電和電力分配中斷。

Solarman的平臺管理著全球數(shù)百萬個光伏裝置，覆蓋全球200多萬個光伏電站約195吉瓦的光伏發(fā)電量。該平臺的API架構(gòu)存在各種攻擊風(fēng)險，包括賬戶完全接管、跨平臺令牌重用和數(shù)據(jù)過度暴露。

Deye的逆變器平臺連接到Solarman的基礎(chǔ)設(shè)施，同樣存在硬編碼憑證、信息泄露和授權(quán)令牌生成缺陷等漏洞。

提取的數(shù)據(jù)

提取的數(shù)據(jù)

研究者指出，如果這些漏洞被攻擊者利用，可獲得對太陽能逆變器的控制權(quán)，修改設(shè)置并導(dǎo)致電網(wǎng)不穩(wěn)定。此外，攻擊者還可能獲取敏感信息，包括用戶數(shù)據(jù)、組織信息和太陽能裝置信息。

漏洞披露與修復(fù)措施

Bitdefender已經(jīng)負(fù)責(zé)任地向受影響的供應(yīng)商披露了這些漏洞，并且供應(yīng)商已經(jīng)實施了修復(fù)措施。然而，研究人員仍然敦促光伏發(fā)電設(shè)備用戶和合作伙伴確保他們運行的是最新的軟件版本，以保障Solarman和Deye平臺的安全。

隨著太陽能等可再生能源越來越多地并入電網(wǎng)，網(wǎng)絡(luò)安全的重要性日益凸顯。Bitdefender指出：“將太陽能整合到電網(wǎng)中帶來了巨大的好處，但也引入了需要設(shè)備制造商重視的攻擊面。Deye和Solarman平臺中的安全漏洞突顯了太陽能系統(tǒng)以及其他物聯(lián)網(wǎng)設(shè)置迫切需要強大的網(wǎng)絡(luò)安全措施?！?/p>

這項研究將在2024年8月9日的網(wǎng)絡(luò)安全會議Defcon 32上公布。