Blackhat ASIA 2025:光伏电站攻防研究

admin 2025年6月19日22:04:16评论29 views字数 3853阅读12分50秒阅读模式
摘要

在能源转型的浪潮中,太阳能发电正以史无前例的速度扩张。截至 2024 年,全球太阳能装机容量已突破 500GW,仅中国就占据 200GW 的份额。但在这场绿色革命的背后,一场针对光伏系统的网络安全危机正在悄然酝酿。Forescout Vedere Labs 的最新研究揭示了一个令人担忧的现实:太阳能发电系统的漏洞正在成为威胁电网稳定的 "定时炸弹"。

01
光伏系统攻击面

1、逆变器 

太阳能发电的核心组件逆变器,已从传统电力设备演变为联网智能终端。以阳光电源(Sungrow)WiNet-S 通信加密狗为例,其固件存在四重缓冲区溢出漏洞(CVE-2024-50694),攻击者通过构造超长 MQTT 指令(如 "settime" 命令),可覆盖函数返回地址实现远程代码执行。更严峻的是,该设备硬编码 MQTT 凭证(用户名 / 密码默认值),通过 Shodan 可发现 2600 台暴露于公网的设备,形成 "免认证攻击通道"。

Growatt 的 Shine Server 则呈现另一种安全痼疾:大量不安全直接对象引用(IDOR)漏洞。研究团队通过遍历 URL 参数,发现可通过

/v1/powerStationService/getPowerStationInfo

接口批量获取电站 ID,再利用

/v1/commonService/getSecondDataAbilitySnInfoByPsId

接口关联获取设备序列号,整个过程无需身份验证。实测显示,10 分钟内可枚举 5000 + 有效设备信息。

2、云平台

德国 SMA 的sunnyportal.com云平台存在文件上传漏洞(CVE-2025-0731),未授权用户可绕过文件类型校验,上传 ASPX 恶意脚本。研究人员通过演示账户上传包含后门的脚本文件,成功获取平台服务器权限,进而控制关联的逆变器集群。该漏洞利用链突破了 "逆变器不应直接联网" 的安全假设 —— 尽管设备本身未暴露公网,但云平台的脆弱性成为攻击入口。

3、通信协议 

光伏系统广泛采用的 MQTT 协议,在实际部署中存在严重安全缺陷。阳光电源的云平台 MQTT 代理服务器(iot.isolarcloud.com)未启用客户端证书认证,配合硬编码的连接凭证,攻击者可直接向任意设备发送指令。抓包分析显示,指令传输采用弱加密(AES-128 ECB 模式),且存在 IV 值固定问题,可被密码分析攻击。

02
攻击路径分析

1、资产测绘与信息收割

攻击者首先通过 Shodan 搜索光伏设备特征(如 HTTP favicon 哈希值 792201344 对应 Sungrow 设备),定位暴露的管理接口。同时利用 Growatt 的 IDOR 漏洞,通过GET

 /login/getCustomerCase

接口获取大量真实用户信息,该接口返回包含账户名、电站地址、设备型号的 JSON 数据,为后续社工攻击提供素材。

2、通信层MQTT 凭证滥用

以 Sungrow 设备为例,攻击者通过 IDOR 获取设备序列号(如 SH10RT-20250101)后,利用硬编码的 MQTT 凭证(用户名:admin,密码:sungrow123)连接云平台代理服务器,向主题cloud/device/cmd/SH10RT-20250101/发布恶意指令。实测显示,该过程无需设备端确认,指令直接执行。

3、缓冲区溢出

在 ESP32 芯片(Tensilica Xtensa 架构)上,攻击者利用 "寄存器窗口滑动" 机制实施攻击。当执行on_settime_command函数时,超长的dataTime参数导致栈溢出,覆盖 Base Save Area 中的寄存器值。通过计算栈偏移(如 0x4c 处为parse_mqtt_packet函数的 a0 寄存器),攻击者将执行流重定向至memcpy gadgets,实现 IRAM 中的代码注入。该过程需绕过 ESP32 的栈不可执行保护,利用0x4023b190处的 gadget 链完成内存写入。

4、权限提升与集群控制

获取单个设备控制权后,攻击者通过云平台 API 横向扩展。Growatt 的

/api/v1/user/changePassword

接口存在逻辑漏洞,攻击者可利用已接管账户的会话令牌,修改其他用户密码。实测显示,通过链式 IDOR 攻击,可在 2 小时内接管一个地区的 100 + 电站。

5、电网频率攻击

欧洲电网的研究数据显示,当攻击者控制 4500MW 发电容量(约 56.3 万台 8kW 逆变器)时,可将电网频率压降至 49Hz 以下,触发强制负载 shedding。而全球太阳能装机中,住宅和商业逆变器占比超 90%,攻击者只需控制其中 2% 的设备即可达到攻击阈值。

6、持久化控制

攻击者通过修改逆变器固件启动参数,植入后门程序。Sungrow 的 WiNet-S 加密狗存在未签名固件更新漏洞(CVE-2024-50688),可绕过完整性校验刷入恶意固件。该操作会断开设备与厂商管理系统的连接,形成 "影子控制" 状态,增加溯源难度。

7、新型勒索场景

2023 年罗马尼亚事件中,攻击者利用安装商凭证禁用逆变器低负荷保护功能,在电网需求低谷时段维持高发电输出,通过电价差牟利。而模拟勒索场景显示,攻击者可在白天强制逆变器停机(光伏系统发电高峰期),迫使运营商支付赎金。某新能源企业测算,单台 1MW 逆变器停机 1 小时,损失约 8000 元人民币。

03
风险矩阵

1、技术风险

漏洞类型
影响范围
利用难度
典型案例
云平台 RCE
全国性集群控制
SMA sunnyportal 漏洞
通信协议缺陷
区域性设备接管
Sungrow MQTT 硬编码凭证
固件缓冲区溢出
单点设备控制
WiNet-S 加密狗漏洞
IDOR 数据泄露
信息收集与社工
极低
Growatt Shine Server 漏洞
2、供应链安全地缘化
全球 53% 的逆变器厂商位于中国,前十大厂商中 9 家为中资企业。2024 年立陶宛立法禁止中国厂商接入本国风光电站系统,美国对 Deye 等品牌实施进口限制。这种供应链管控与技术漏洞交织,产生新的安全风险 —— 攻击者可能利用厂商预留的 "合法后门" 实施定向攻击,而地缘政治对抗又导致漏洞修复合作受阻。
3、电网稳定性威胁建模

构建攻击影响模型需考虑三要素:

控制容量:4500MW 为欧洲电网临界值,美国 ERCOT 电网该值为 7800MW

攻击速度:MQTT 指令可在 100ms 内触达 10 万台设备
电网韧性:德国电网具备 3GW 应急储备,印度电网仅 0.8GW
当攻击者在 30 分钟内控制目标容量的 60%,电网频率将以 0.1Hz / 分钟的速率下降,超出多数调频机组的响应能力。
03
建立生态安全

1、纵深防御建设

  1. 网络分段隔离策略将光伏系统划分为独立 VLAN,与办公网、生产网实施三层隔离。某省级电网部署后,IDOR 攻击流量被拦截率达 97%。建议配置:

    • 逆变器管理网段:192.168.10.0/24(仅允许云平台 IP 访问)
    • 监控系统网段:192.168.20.0/24(限制 HTTP/HTTPS 访问)
  2. 凭证管理对 Growatt、Sungrow 设备实施 "三改":

    • 改默认密码(如将sungrow123改为复杂密码)
    • 改 MQTT 客户端 ID(删除设备序列号关联)
    • 改通信密钥(每季度通过 OTA 更新 AES 密钥)
  3. 威胁狩猎部署流量分析工具,监控以下异常行为:

    • MQTT 主题中出现非授权设备序列号
    • 逆变器固件更新包哈希值与厂商公布不符
    • 单日设备离线率超过 5%(可能为攻击前兆)

2、厂商安全开发安全生命周期(SDL)

  1. 固件安全阳光电源在修复漏洞时引入四项措施:

    • 启用 Secure Boot(SHA-256 签名校验)
    • 部署栈保护(Stack Canary)
    • 实现地址空间随机化(ASLR)
    • 禁用未使用的调试接口(如 JTAG)
  2. API 安全通过身份认证与授权机制、传输加密、输入输出验证、访问频率限制及实时安全监控等多层防护措施,构建 API 全生命周期的安全屏障。

  3. 供应链安全审计

    对通信模块供应商实施 "四眼原则":

    1. 禁止硬编码凭证进入固件(通过硬件安全模块 HSM 存储密钥)
    2. 每季度进行供应链渗透测试
    3. 关键组件实施来源追踪(如 ESP32 芯片批次溯源)
    4. 建立漏洞共享通道(与 Forescout 等机构实时同步)

3、行业协同防御机制

  1. 应急响应联盟与威胁情报共享

    参考 CISA 协调 SMA 漏洞修复的模式,建议建立三级响应体系:

    • 厂商层:24 小时漏洞确认,72 小时补丁开发
    • 电网层:4 小时内完成影响评估,8 小时内制定隔离方案
    • 监管层:每日发布漏洞态势报告,每周组织联合演练
    • 安全认证体系
  2. 推动建立 "光伏系统安全认证(PV-Sec)",包含:

    • 固件安全认证(FCC 级别)
    • 通信加密认证(AES-256 GCM 模式)
    • 云平台等保认证(三级以上)
03
结语

当每一块光伏板都成为联网节点,能源基础设施的安全边界正在重新定义。Forescout 的研究揭示了一个残酷现实:攻击者无需突破电网核心防护,只需控制边缘光伏设备,即可对能源系统造成系统性冲击。从 SMA 云平台的文件上传漏洞,到 Sungrow 加密狗的缓冲区溢出,这些技术缺陷与供应链地缘风险交织,构成了能源安全的 "马奇诺防线悖论"—— 最坚固的堡垒往往从内部被攻破。

对于安全从业者而言,光伏系统安全已不再是单一的漏洞分析,而是需要融合 OT 安全、供应链安全、电网运行原理的交叉学科。当务之急是推动建立 "光伏安全成熟度模型",从设备开发、部署运维到应急响应,构建全生命周期的安全管理体系。毕竟,在碳中和的征程中,任何一次电网震荡都可能让绿色能源的愿景蒙上阴影。

(本文根据Blackhat ASIA 2025演讲及PPT整理)

附PPT截图:
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究
Blackhat ASIA 2025:光伏电站攻防研究

原文始发于微信公众号(白帽子罗棋琛):Blackhat ASIA 2025:光伏电站攻防研究

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月19日22:04:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Blackhat ASIA 2025:光伏电站攻防研究https://cn-sec.com/archives/4182528.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息