寧波德業(yè)太陽能逆變器曝光，系統(tǒng)漏洞藏隱患？

【ITBEAR】8月10日消息，近期，網絡安全公司Bitdefender發(fā)布了一份重要報告，揭示了寧波德業(yè)（Deye）公司生產的太陽能逆變器系統(tǒng)存在一系列嚴重安全漏洞。這些漏洞一旦被黑客利用，可能對地區(qū)電網的穩(wěn)定性造成重大影響，甚至引發(fā)大規(guī)模的電力中斷或基礎設施過載爆炸事故，后果不堪設想。

報告顯示，寧波德業(yè)公司的太陽能逆變器系統(tǒng)在全球190多個國家廣泛應用，覆蓋了多達1000萬座發(fā)電設施，合計發(fā)電量可達19.5億千瓦，這一數(shù)字占據(jù)了全球太陽能發(fā)電總量的五分之一，顯示出其市場占有率的龐大以及對全球能源供應的潛在影響。

據(jù)ITBEAR了解，Bitdefender發(fā)現(xiàn)的漏洞主要與多項憑據(jù)（Token）管理不當密切相關。黑客可以通過至少四種途徑獲取逆變器系統(tǒng)的最高管理權限，進而篡改逆變器的配置。具體漏洞包括：OAuth身份驗證漏洞，允許攻擊者為任意用戶生成有效憑證，接管用戶賬戶；憑證重復使用漏洞，意味著在一家公司平臺上簽署的憑證能在另一家公司平臺上使用，增加了黑客攻擊的范圍；過度信息暴露問題，平臺的某些API端點泄露了過多的企業(yè)組織信息，如電子郵件地址和電話號碼，便于黑客實施社交工程攻擊；以及硬編碼賬號問題，設備內部存在一個擁有最高權限但密碼無法修改的硬編碼賬號，為黑客提供了直接訪問所有設備的途徑。

Bitdefender強調，這些漏洞的曝光凸顯了關鍵基礎設施在網絡安全方面的薄弱環(huán)節(jié)，尤其是像太陽能發(fā)電系統(tǒng)這樣容易被忽視的領域。為防止?jié)撛诘暮诳凸?，相關廠商和用戶必須立即采取行動，修補漏洞并加強安全防護措施。幸運的是，Bitdefender已將相關漏洞報告給寧波德業(yè)公司，而德業(yè)公司也已迅速響應，采取措施修補了這些漏洞，有效降低了潛在的安全風險。