近日，網(wǎng)絡安全公司Forescout旗下研究機構(gòu)Vedere Labs發(fā)布了一份重磅報告，披露了全球三大領先太陽能逆變器制造商——尚德（Sungrow）、固德威（Growatt）和SMA的產(chǎn)品中存在多達46個安全漏洞。

這些漏洞可能被攻擊者利用，遠程控制設備或在廠商的云平臺上執(zhí)行惡意代碼，潛在影響被評估為“嚴重”，可能威脅電網(wǎng)穩(wěn)定和用戶隱私。

漏洞詳情與潛在威脅

根據(jù)Vedere Labs的研究，這46個漏洞主要涉及尚德、固德威和SMA的光伏逆變器產(chǎn)品。作為全球排名前六的制造商，這三家企業(yè)的設備廣泛應用于光伏發(fā)電系統(tǒng)。報告指出，這些漏洞可能導致未經(jīng)授權(quán)訪問云平臺資源、遠程代碼執(zhí)行（RCE）、設備劫持、信息泄露，甚至引發(fā)物理損壞或拒絕服務攻擊（DoS）。

其中，SMA產(chǎn)品僅涉及一個漏洞（CVE-2025-0731）。攻擊者可通過上傳惡意.ASPX文件至SMA的“Sunny Portal”光伏監(jiān)控平臺，實現(xiàn)遠程代碼執(zhí)行。而對于尚德和固德威的逆變器，攻擊路徑更為多樣且影響深遠。研究人員在報告中詳細描述了如何利用這些新披露的漏洞“劫持”逆變器。

對于固德威的逆變器，攻擊者僅通過云端后端即可輕松接管設備。報告稱，攻擊者可通過暴露的API無需認證即可枚舉用戶名，隨后利用兩個不安全的直接對象引用（IDOR）漏洞接管賬戶，或通過兩個存儲型跨站腳本（XSS）漏洞注入JavaScript竊取憑證。獲得訪問權(quán)限后，攻擊者可操作逆變器，例如開關設備或修改配置參數(shù)，盡管控制并非完全的。

相比之下，尚德的逆變器接管過程“稍顯復雜”，涉及多個漏洞組件。攻擊者可通過IDOR漏洞（如CVE-2024-50685、CVE-2024-50693、CVE-2024-50686）從后端獲取通信加密狗序列號，利用硬編碼的MQTT憑證（CVE-2024-50692）發(fā)布針對特定逆變器的消息，再通過堆棧溢出漏洞（CVE-2024-50694、CVE-2024-50695、CVE-2024-50698）發(fā)送精心構(gòu)造的消息，在連接逆變器的通信加密狗上實現(xiàn)遠程代碼執(zhí)行。這些漏洞被評級為“嚴重”，若攻擊者控制大量設備，威脅將成倍放大。

對電網(wǎng)的潛在沖擊

研究人員警告，若攻擊者控制住宅或商用逆變器群，可能會通過調(diào)節(jié)功率輸出擾亂電網(wǎng)供需平衡。報告指出，每臺逆變器可在光伏面板當前生產(chǎn)水平范圍內(nèi)調(diào)整發(fā)電量，若多臺被劫持的逆變器協(xié)同作用，可能對電網(wǎng)產(chǎn)生“顯著影響”。在極端情況下，攻擊者可將逆變器組成僵尸網(wǎng)絡，在高峰時段協(xié)調(diào)降低發(fā)電量，進而影響電網(wǎng)負載。

Vedere Labs進一步解釋，攻擊者可通過“逆向調(diào)節(jié)逆變器功率輸出”對抗主控系統(tǒng)。當主控系統(tǒng)試圖降低負載時，攻擊會迅速減少所有負載，迫使主控系統(tǒng)提升負載，隨后攻擊者立即增加負載。這種反復操作可能導致電網(wǎng)不穩(wěn)定，甚至造成嚴重破壞。

除了對電網(wǎng)的威脅，這些漏洞還可能被用于竊取用戶隱私或發(fā)起勒索攻擊。攻擊者可通過廠商云平臺劫持智能家居設備，或鎖住逆變器并索要贖金。研究人員強調(diào)，這些場景不僅影響能源安全，還可能波及普通用戶的日常生活。

廠商積極響應與修復

報告稱，尚德和SMA已修補所有報告的漏洞。尚德在修復后主動尋求確認，并表示愿意持續(xù)改進安全態(tài)勢。固德威也已發(fā)布補丁，且無需用戶對逆變器進行硬件調(diào)整。Vedere Labs對廠商的積極響應表示認可，但也呼吁行業(yè)進一步關注光伏設備的安全性。

結(jié)語

此次漏洞披露為光伏行業(yè)再次敲響警鐘，隨著可再生能源的普及，光伏逆變器作為光伏系統(tǒng)的核心組件，其安全性愈發(fā)重要。Forescout在報告中呼吁制造商和用戶共同努力，提升設備和云平臺的安全防護，以應對日益復雜的網(wǎng)絡威脅。