Sfruttando una backdoor (porta di comunicazione “sul retro” che dà l’opportunità ad un attaccante di accedere da remoto al sistema informatico della vittima), due ethical hacker olandesi hanno potuto accedere ai sistemi informatici di pannelli solari “intelligenti”. Mettendone in risalto la vulnerabilità ai cyberattacchi.
Vulnerabilità sui sistemi di gestione dei pannelli solari
La cybersecurity degli impianti fotovoltaici passa (anche) da test come quello condotto da due ethical hacker olandesi – Wietse Boonstra e Hidde Smit, con loro gli autori della ricerca Max van der Horst e Frank Breedijk – che, utilizzando una backdoor (porta di comunicazione “sul retro” che dà l’opportunità ad un attaccante di accedere da remoto al sistema informatico della vittima), sono riusciti ad accedere ai sistemi informatici degli inverter “intelligenti” dell’azienda statunitense Enphase (con la quale hanno collaborato), mettendo in luce la vulnerabilità di pannelli solari agli attacchi informatici.
La coppia di ricercatori del Divd (Dutch institute of vulnerability disclosure), l’Istituto olandese per la divulgazione delle vulnerabilità (che in una nota approfondisce), è riuscita a dimostrare la gravità di queste minacce cyber: esaminando il firmaware dei dispositivi Enphase IQ Gateway, i professionisti hanno identificato nei sistemi sei vulnerabilità ed esposizioni comuni (Common Vulnerabilities and Exposures: CVE-2024-21876; CVE-2024-21877; CVE-2024-21878; CVE-2024-21879; CVE-2024-21880; CVE-2024-21881), potenzialmente sfruttabili per infettare i pannelli solari con del malware. Gli esiti dell’indagine in cybersecurity degli impianti fotovoltaici sono pubblicati su Follow The Money.
Ricercatori individuano un bug nel software degli inverter
Il principio di funzionamento dei pannelli solari è relativamente semplice, con l’utilizzo degli inverter la cui funzione principale – va da sé – è quella di trasformare la corrente continua in corrente alternata, cosicché possa essere utilizzata dalle varie utenze dell’abitazione o essere immessa nella rete pubblica per cederla al gestore di zona. Nei sistemi Enphase, ogni pannello fotovoltaico, dietro a ogni modulo, è dotato del proprio microinverter. I clienti della società di tecnologia energetica con sede a Fremont (California) hanno l’opportunità di gestire i propri sistemi tramite un account personale.
Ebbene, i ricercatori olandesi hanno rilevato una vulnerabilità critica: un bug nel software ha consentito loro, partendo da un account, di ottenere i diritti di amministratore sugli account di altri utenti. “Ho creato altri venti account e li ho controllati tutti a cominciare dal primo account. Per avere realmente la conferma”, ammette Boonstra. Che insieme al collega Smit ha esaminato il sistema operativo dei dispositivi Enphases, scoprendo – appunto – “sei vulnerabilità” diverse.
Sistemi energetici sempre più nel mirino dei cyberattack, dunque. Fermo restando che, nel proseguire a collaborare con Enphase per individuare i gateway Envoy IQ che sono ancora vulnerabili ed esposti a livello globale per agevolare il patching di sicurezza, l’Istituto olandese per la divulgazione delle vulnerabilità precisa però che un dispositivo è vulnerabile esclusivamente se l’apparecchiatura Enphase viene esposta “a una rete non affidabile, come l’Internet pubblica oppure una rete ospite domestica”.
Tre scenari di attacco informatico agli impianti di energia solare
Energia sotto attacco. Il 12 agosto l’Agenzia olandese per le imprese (Rijksdienst voor Ondernemend Nederland) ha rilasciato un report, a cura della società Secura, relativo a un’indagine sulla vulnerabilità dei sistemi di energia solare olandesi. Lo studio tratteggia tre scenari plausibili (cyberattacco tramite portale cloud; aggiornamento software online degli inverter; attacco informatico mirato alla supply chain) attraverso i quali potrebbero verificarsi attacchi informatici agli impianti di energia solare. Cyberattacchi, ovviamente, provenienti da diversi attori (criminal hacker su tutti).
Successivamente sono state valutate le possibili misure di mitigazione che potrebbero prevenire questi incidenti (o circoscriverne la portata). In tal senso, a più ampio raggio SolarPower Europe ha rilasciato un position paper sulla cybersecurity per il comparto del fotovoltaico. Tra i suoi consigli: rinsaldare la sicurezza cibernetica a livello di prodotto e incrementare la visibilità del rischio sulle reti a bassa tensione.