“在能源转型的浪潮中,太阳能发电正以史无前例的速度扩张。截至 2024 年,全球太阳能装机容量已突破 500GW,仅中国就占据 200GW 的份额。但在这场绿色革命的背后,一场针对光伏系统的网络安全危机正在悄然酝酿。Forescout Vedere Labs 的最新研究揭示了一个令人担忧的现实:太阳能发电系统的漏洞正在成为威胁电网稳定的 "定时炸弹"。
”
—
1、逆变器
太阳能发电的核心组件逆变器,已从传统电力设备演变为联网智能终端。以阳光电源(Sungrow)WiNet-S 通信加密狗为例,其固件存在四重缓冲区溢出漏洞(CVE-2024-50694),攻击者通过构造超长 MQTT 指令(如 "settime" 命令),可覆盖函数返回地址实现远程代码执行。更严峻的是,该设备硬编码 MQTT 凭证(用户名 / 密码默认值),通过 Shodan 可发现 2600 台暴露于公网的设备,形成 "免认证攻击通道"。
Growatt 的 Shine Server 则呈现另一种安全痼疾:大量不安全直接对象引用(IDOR)漏洞。研究团队通过遍历 URL 参数,发现可通过
/v1/powerStationService/getPowerStationInfo
接口批量获取电站 ID,再利用
/v1/commonService/getSecondDataAbilitySnInfoByPsId
接口关联获取设备序列号,整个过程无需身份验证。实测显示,10 分钟内可枚举 5000 + 有效设备信息。
2、云平台
德国 SMA 的sunnyportal.com云平台存在文件上传漏洞(CVE-2025-0731),未授权用户可绕过文件类型校验,上传 ASPX 恶意脚本。研究人员通过演示账户上传包含后门的脚本文件,成功获取平台服务器权限,进而控制关联的逆变器集群。该漏洞利用链突破了 "逆变器不应直接联网" 的安全假设 —— 尽管设备本身未暴露公网,但云平台的脆弱性成为攻击入口。
3、通信协议
光伏系统广泛采用的 MQTT 协议,在实际部署中存在严重安全缺陷。阳光电源的云平台 MQTT 代理服务器(iot.isolarcloud.com)未启用客户端证书认证,配合硬编码的连接凭证,攻击者可直接向任意设备发送指令。抓包分析显示,指令传输采用弱加密(AES-128 ECB 模式),且存在 IV 值固定问题,可被密码分析攻击。
—
1、资产测绘与信息收割
攻击者首先通过 Shodan 搜索光伏设备特征(如 HTTP favicon 哈希值 792201344 对应 Sungrow 设备),定位暴露的管理接口。同时利用 Growatt 的 IDOR 漏洞,通过GET
/login/getCustomerCase
接口获取大量真实用户信息,该接口返回包含账户名、电站地址、设备型号的 JSON 数据,为后续社工攻击提供素材。
2、通信层MQTT 凭证滥用
以 Sungrow 设备为例,攻击者通过 IDOR 获取设备序列号(如 SH10RT-20250101)后,利用硬编码的 MQTT 凭证(用户名:admin,密码:sungrow123)连接云平台代理服务器,向主题cloud/device/cmd/SH10RT-20250101/
发布恶意指令。实测显示,该过程无需设备端确认,指令直接执行。
3、缓冲区溢出
在 ESP32 芯片(Tensilica Xtensa 架构)上,攻击者利用 "寄存器窗口滑动" 机制实施攻击。当执行on_settime_command
函数时,超长的dataTime
参数导致栈溢出,覆盖 Base Save Area 中的寄存器值。通过计算栈偏移(如 0x4c 处为parse_mqtt_packet
函数的 a0 寄存器),攻击者将执行流重定向至memcpy
gadgets,实现 IRAM 中的代码注入。该过程需绕过 ESP32 的栈不可执行保护,利用0x4023b190
处的 gadget 链完成内存写入。
4、权限提升与集群控制
获取单个设备控制权后,攻击者通过云平台 API 横向扩展。Growatt 的
/api/v1/user/changePassword
接口存在逻辑漏洞,攻击者可利用已接管账户的会话令牌,修改其他用户密码。实测显示,通过链式 IDOR 攻击,可在 2 小时内接管一个地区的 100 + 电站。
5、电网频率攻击
欧洲电网的研究数据显示,当攻击者控制 4500MW 发电容量(约 56.3 万台 8kW 逆变器)时,可将电网频率压降至 49Hz 以下,触发强制负载 shedding。而全球太阳能装机中,住宅和商业逆变器占比超 90%,攻击者只需控制其中 2% 的设备即可达到攻击阈值。
6、持久化控制
攻击者通过修改逆变器固件启动参数,植入后门程序。Sungrow 的 WiNet-S 加密狗存在未签名固件更新漏洞(CVE-2024-50688),可绕过完整性校验刷入恶意固件。该操作会断开设备与厂商管理系统的连接,形成 "影子控制" 状态,增加溯源难度。
7、新型勒索场景
2023 年罗马尼亚事件中,攻击者利用安装商凭证禁用逆变器低负荷保护功能,在电网需求低谷时段维持高发电输出,通过电价差牟利。而模拟勒索场景显示,攻击者可在白天强制逆变器停机(光伏系统发电高峰期),迫使运营商支付赎金。某新能源企业测算,单台 1MW 逆变器停机 1 小时,损失约 8000 元人民币。
—
1、技术风险
|
|
|
|
---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
构建攻击影响模型需考虑三要素:
控制容量:4500MW 为欧洲电网临界值,美国 ERCOT 电网该值为 7800MW
—
1、纵深防御建设
-
网络分段隔离策略将光伏系统划分为独立 VLAN,与办公网、生产网实施三层隔离。某省级电网部署后,IDOR 攻击流量被拦截率达 97%。建议配置:
-
逆变器管理网段:192.168.10.0/24(仅允许云平台 IP 访问) -
监控系统网段:192.168.20.0/24(限制 HTTP/HTTPS 访问) -
凭证管理对 Growatt、Sungrow 设备实施 "三改":
-
改默认密码(如将 sungrow123
改为复杂密码) -
改 MQTT 客户端 ID(删除设备序列号关联) -
改通信密钥(每季度通过 OTA 更新 AES 密钥) -
威胁狩猎部署流量分析工具,监控以下异常行为:
-
MQTT 主题中出现非授权设备序列号 -
逆变器固件更新包哈希值与厂商公布不符 -
单日设备离线率超过 5%(可能为攻击前兆)
2、厂商安全开发安全生命周期(SDL)
-
固件安全阳光电源在修复漏洞时引入四项措施:
-
启用 Secure Boot(SHA-256 签名校验) -
部署栈保护(Stack Canary) -
实现地址空间随机化(ASLR) -
禁用未使用的调试接口(如 JTAG) -
API 安全通过身份认证与授权机制、传输加密、输入输出验证、访问频率限制及实时安全监控等多层防护措施,构建 API 全生命周期的安全屏障。
-
供应链安全审计
对通信模块供应商实施 "四眼原则":
-
禁止硬编码凭证进入固件(通过硬件安全模块 HSM 存储密钥) -
每季度进行供应链渗透测试 -
关键组件实施来源追踪(如 ESP32 芯片批次溯源) -
建立漏洞共享通道(与 Forescout 等机构实时同步)
3、行业协同防御机制
-
应急响应联盟与威胁情报共享
参考 CISA 协调 SMA 漏洞修复的模式,建议建立三级响应体系:
-
厂商层:24 小时漏洞确认,72 小时补丁开发 -
电网层:4 小时内完成影响评估,8 小时内制定隔离方案 -
监管层:每日发布漏洞态势报告,每周组织联合演练 -
安全认证体系 -
推动建立 "光伏系统安全认证(PV-Sec)",包含:
-
固件安全认证(FCC 级别) -
通信加密认证(AES-256 GCM 模式) -
云平台等保认证(三级以上)
—
当每一块光伏板都成为联网节点,能源基础设施的安全边界正在重新定义。Forescout 的研究揭示了一个残酷现实:攻击者无需突破电网核心防护,只需控制边缘光伏设备,即可对能源系统造成系统性冲击。从 SMA 云平台的文件上传漏洞,到 Sungrow 加密狗的缓冲区溢出,这些技术缺陷与供应链地缘风险交织,构成了能源安全的 "马奇诺防线悖论"—— 最坚固的堡垒往往从内部被攻破。
对于安全从业者而言,光伏系统安全已不再是单一的漏洞分析,而是需要融合 OT 安全、供应链安全、电网运行原理的交叉学科。当务之急是推动建立 "光伏安全成熟度模型",从设备开发、部署运维到应急响应,构建全生命周期的安全管理体系。毕竟,在碳中和的征程中,任何一次电网震荡都可能让绿色能源的愿景蒙上阴影。
(本文根据Blackhat ASIA 2025演讲及PPT整理)
原文始发于微信公众号(白帽子罗棋琛):Blackhat ASIA 2025:光伏电站攻防研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论