Blackhat ASIA 2025：光伏电站攻防研究

“在能源转型的浪潮中，太阳能发电正以史无前例的速度扩张。截至 2024 年，全球太阳能装机容量已突破 500GW，仅中国就占据 200GW 的份额。但在这场绿色革命的背后，一场针对光伏系统的网络安全危机正在悄然酝酿。Forescout Vedere Labs 的最新研究揭示了一个令人担忧的现实：太阳能发电系统的漏洞正在成为威胁电网稳定的 "定时炸弹"。

”

—

1、逆变器 

太阳能发电的核心组件逆变器，已从传统电力设备演变为联网智能终端。以阳光电源（Sungrow）WiNet-S 通信加密狗为例，其固件存在四重缓冲区溢出漏洞（CVE-2024-50694），攻击者通过构造超长 MQTT 指令（如 "settime" 命令），可覆盖函数返回地址实现远程代码执行。更严峻的是，该设备硬编码 MQTT 凭证（用户名 / 密码默认值），通过 Shodan 可发现 2600 台暴露于公网的设备，形成 "免认证攻击通道"。

Growatt 的 Shine Server 则呈现另一种安全痼疾：大量不安全直接对象引用（IDOR）漏洞。研究团队通过遍历 URL 参数，发现可通过

/v1/powerStationService/getPowerStationInfo

接口批量获取电站 ID，再利用

/v1/commonService/getSecondDataAbilitySnInfoByPsId

接口关联获取设备序列号，整个过程无需身份验证。实测显示，10 分钟内可枚举 5000 + 有效设备信息。

2、云平台

德国 SMA 的sunnyportal.com云平台存在文件上传漏洞（CVE-2025-0731），未授权用户可绕过文件类型校验，上传 ASPX 恶意脚本。研究人员通过演示账户上传包含后门的脚本文件，成功获取平台服务器权限，进而控制关联的逆变器集群。该漏洞利用链突破了 "逆变器不应直接联网" 的安全假设 —— 尽管设备本身未暴露公网，但云平台的脆弱性成为攻击入口。

3、通信协议 

光伏系统广泛采用的 MQTT 协议，在实际部署中存在严重安全缺陷。阳光电源的云平台 MQTT 代理服务器（iot.isolarcloud.com）未启用客户端证书认证，配合硬编码的连接凭证，攻击者可直接向任意设备发送指令。抓包分析显示，指令传输采用弱加密（AES-128 ECB 模式），且存在 IV 值固定问题，可被密码分析攻击。

—

1、资产测绘与信息收割

攻击者首先通过 Shodan 搜索光伏设备特征（如 HTTP favicon 哈希值 792201344 对应 Sungrow 设备），定位暴露的管理接口。同时利用 Growatt 的 IDOR 漏洞，通过GET

 /login/getCustomerCase

接口获取大量真实用户信息，该接口返回包含账户名、电站地址、设备型号的 JSON 数据，为后续社工攻击提供素材。

2、通信层MQTT 凭证滥用

以 Sungrow 设备为例，攻击者通过 IDOR 获取设备序列号（如 SH10RT-20250101）后，利用硬编码的 MQTT 凭证（用户名：admin，密码：sungrow123）连接云平台代理服务器，向主题cloud/device/cmd/SH10RT-20250101/发布恶意指令。实测显示，该过程无需设备端确认，指令直接执行。

3、缓冲区溢出

在 ESP32 芯片（Tensilica Xtensa 架构）上，攻击者利用 "寄存器窗口滑动" 机制实施攻击。当执行on_settime_command函数时，超长的dataTime参数导致栈溢出，覆盖 Base Save Area 中的寄存器值。通过计算栈偏移（如 0x4c 处为parse_mqtt_packet函数的 a0 寄存器），攻击者将执行流重定向至memcpy gadgets，实现 IRAM 中的代码注入。该过程需绕过 ESP32 的栈不可执行保护，利用0x4023b190处的 gadget 链完成内存写入。

4、权限提升与集群控制

获取单个设备控制权后，攻击者通过云平台 API 横向扩展。Growatt 的

/api/v1/user/changePassword

接口存在逻辑漏洞，攻击者可利用已接管账户的会话令牌，修改其他用户密码。实测显示，通过链式 IDOR 攻击，可在 2 小时内接管一个地区的 100 + 电站。

5、电网频率攻击

欧洲电网的研究数据显示，当攻击者控制 4500MW 发电容量（约 56.3 万台 8kW 逆变器）时，可将电网频率压降至 49Hz 以下，触发强制负载 shedding。而全球太阳能装机中，住宅和商业逆变器占比超 90%，攻击者只需控制其中 2% 的设备即可达到攻击阈值。

6、持久化控制

攻击者通过修改逆变器固件启动参数，植入后门程序。Sungrow 的 WiNet-S 加密狗存在未签名固件更新漏洞（CVE-2024-50688），可绕过完整性校验刷入恶意固件。该操作会断开设备与厂商管理系统的连接，形成 "影子控制" 状态，增加溯源难度。

7、新型勒索场景

2023 年罗马尼亚事件中，攻击者利用安装商凭证禁用逆变器低负荷保护功能，在电网需求低谷时段维持高发电输出，通过电价差牟利。而模拟勒索场景显示，攻击者可在白天强制逆变器停机（光伏系统发电高峰期），迫使运营商支付赎金。某新能源企业测算，单台 1MW 逆变器停机 1 小时，损失约 8000 元人民币。

—

1、技术风险

构建攻击影响模型需考虑三要素：

控制容量：4500MW 为欧洲电网临界值，美国 ERCOT 电网该值为 7800MW

—

1、纵深防御建设

1. 网络分段隔离策略将光伏系统划分为独立 VLAN，与办公网、生产网实施三层隔离。某省级电网部署后，IDOR 攻击流量被拦截率达 97%。建议配置：

• 逆变器管理网段：192.168.10.0/24（仅允许云平台 IP 访问）
• 监控系统网段：192.168.20.0/24（限制 HTTP/HTTPS 访问）

2. 凭证管理对 Growatt、Sungrow 设备实施 "三改"：

• 改默认密码（如将sungrow123改为复杂密码）
• 改 MQTT 客户端 ID（删除设备序列号关联）
• 改通信密钥（每季度通过 OTA 更新 AES 密钥）

3. 威胁狩猎部署流量分析工具，监控以下异常行为：

• MQTT 主题中出现非授权设备序列号
• 逆变器固件更新包哈希值与厂商公布不符
• 单日设备离线率超过 5%（可能为攻击前兆）

2、厂商安全开发安全生命周期（SDL）

1. 固件安全阳光电源在修复漏洞时引入四项措施：

• 启用 Secure Boot（SHA-256 签名校验）
• 部署栈保护（Stack Canary）
• 实现地址空间随机化（ASLR）
• 禁用未使用的调试接口（如 JTAG）

2. API 安全通过身份认证与授权机制、传输加密、输入输出验证、访问频率限制及实时安全监控等多层防护措施，构建 API 全生命周期的安全屏障。

3. 供应链安全审计

   对通信模块供应商实施 "四眼原则"：

1. 禁止硬编码凭证进入固件（通过硬件安全模块 HSM 存储密钥）
2. 每季度进行供应链渗透测试
3. 关键组件实施来源追踪（如 ESP32 芯片批次溯源）
4. 建立漏洞共享通道（与 Forescout 等机构实时同步）

3、行业协同防御机制

1. 应急响应联盟与威胁情报共享

   参考 CISA 协调 SMA 漏洞修复的模式，建议建立三级响应体系：

• 厂商层：24 小时漏洞确认，72 小时补丁开发
• 电网层：4 小时内完成影响评估，8 小时内制定隔离方案
• 监管层：每日发布漏洞态势报告，每周组织联合演练
• 安全认证体系

2. 推动建立 "光伏系统安全认证（PV-Sec）"，包含：

• 固件安全认证（FCC 级别）
• 通信加密认证（AES-256 GCM 模式）
• 云平台等保认证（三级以上）

—

当每一块光伏板都成为联网节点，能源基础设施的安全边界正在重新定义。Forescout 的研究揭示了一个残酷现实：攻击者无需突破电网核心防护，只需控制边缘光伏设备，即可对能源系统造成系统性冲击。从 SMA 云平台的文件上传漏洞，到 Sungrow 加密狗的缓冲区溢出，这些技术缺陷与供应链地缘风险交织，构成了能源安全的 "马奇诺防线悖论"—— 最坚固的堡垒往往从内部被攻破。

对于安全从业者而言，光伏系统安全已不再是单一的漏洞分析，而是需要融合 OT 安全、供应链安全、电网运行原理的交叉学科。当务之急是推动建立 "光伏安全成熟度模型"，从设备开发、部署运维到应急响应，构建全生命周期的安全管理体系。毕竟，在碳中和的征程中，任何一次电网震荡都可能让绿色能源的愿景蒙上阴影。

（本文根据Blackhat ASIA 2025演讲及PPT整理）

原文始发于微信公众号（白帽子罗棋琛）：Blackhat ASIA 2025：光伏电站攻防研究