Lo sfruttamento delle vulnerabilità IoT negli impianti solari residenziali

Alla fine del 2019, il Red Team di Mandiant ha rilevato una serie di vulnerabilità all’interno dei dispositivi ConnectPort X2e di Digi International. La ricerca di Mandiant si è concentrata sul dispositivo di SolarCity (ora Tesla) utilizzato per raccogliere i dati negli impianti solari residenziali. La configurazione tipica prevede che SolarCity fornisca un gateway (e cioè il dispositivo X2e) all’utente finale e che tale dispositivo sia collegato sulla rete internet domestica dell’utente tramite un cavo Ethernet, così da inviare i dati sulla gestione dell’energia.

Mandiant ha lavorato indipendentemente con Digi International e Tesla per rimediare a queste vulnerabilità.

Per quanto concerne il dispositivo X2e, la ricerca iniziale si è basata su tecniche di riconoscimento via rete, tecniche di ispezione del PCB, il debug fisico dell’interfaccia, le tecniche di chip-off e l’analisi del firmware. Utilizzando queste metodologie Mandiant è riuscita infine a compromettere da remoto il dispositivo X2e come utente non amministrativo grazie a delle credenziali hardcoded (CVE-2020-9306). Mandiant ha poi ottenuto una shell privilegiata a livello locale sul dispositivo utilizzando attacchi power glitching e ha sfruttato la vulnerabilità CVE-2020-12878 per effettuare una escalation dei privilegi da remoto e diventare amministratore (root). Queste due vulnerabilità, CVE-2020-9306 e CVE-2020-12878, permettono di compromettere da remoto un dispositivo X2e.

Contenuti correlati

• 
  Le 5 figure professionali più richieste nel fotovoltaico

  Oggi in Italia sempre più persone, soprattutto giovani, faticano a trovare un lavoro: talvolta perché quello proposto non è esattamente quello dei loro sogni, altre perché nelle offerte di lavoro ci si trova di fronte a dei...
• 
  Attenzione a Cosmicenergy, il malware creato per causare interruzioni alla rete elettrica

  Mandiant ha pubblicato una ricerca a seguito della scoperta di un nuovo malware specializzato per i sistemi OT, chiamato Cosmicenergy. A seguito di indagini e valutazioni, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni...
• 
  Solbian studia la sostenibilità dei pannelli solari flessibili

  La società di consulenza per l’innovazione e la sostenibilità Forethinking ha dato il via a uno studio sull’impatto ambientale dei pannelli solari flessibili per conto dell’azienda Solbian, specializzata nel settore fotovoltaico. L’obiettivo della collaborazione è progettare dispositivi...
• 
  Fotovoltaico: Senec premia i suoi Business Partner

  La fiera Key 2023 è stata per Senec l’occasione per confermare il ruolo cardine che ricopre nel settore del fotovoltaico e per riconoscere il valore dei suoi partner come parte fondamentale di questo successo. All’evento, grazie anche...
• 
  La casa del futuro intelligente e di design vista al Fuorisalone 2023

  Ecopro, azienda di progettazione orientata da 20 anni all’innovazione nell’ambito dell’energia e dell’ingegneria ambientale, per costruire un futuro sostenibile, ha portato in Italia la mattonella fotovoltaica, in occasione del Salone del Mobile 2023. Le piastrelle fotovoltaiche Platio...
• 
  La classifica delle aziende più “rinnovabili” d’Italia vede Puglia e Lombardia in testa

  Nella transizione verso una economia a zero-emissioni, EnergRed ha promosso a pieni voti ben 12 delle nostre regioni, quasi la metà delle quali ha già raggiunto lo status di coal free, ossia ha già azzerato i consumi...
• 
  Osservatorio FER, rinnovabili in crescita: +109% rispetto al 2021

  Secondo l’Osservatorio FER realizzato da ANIE Rinnovabili sulla base dei dati Gaudì di Terna del 2022 si registra un totale cumulato di 3.036 MW così suddiviso: 2.482 MW per fotovoltaico, 526 MW per eolico, 31 MW per...
• 
  Il futuro è l’indipendenza energetica: quali sono le opportunità per le aziende?

  Partecipare ad una Comunità Energetica Rinnovabile, aderire a un Power Purchase Agreement, sfruttare il fotovoltaico e l’accumulo per raggiungere l’indipendenza energetica: queste soluzioni possono concretamente ridurre i costi per le aziende, renderle autosufficienti e condurre le imprese...
• 
  L’auto elettrica si ricarica gratis con il sistema Viaris Solar di Orbis

  Che il futuro sia l’auto elettrica pare un dato di fatto, restano incerti i tempi con cui questa transizione avverrà, ma i vantaggi sono molteplici sia per quanto concerne la salvaguardia dell’ambiente sia dal punto di vista...
• 
  Partnership Teatek e PLC System per un parco fotovoltaico da 35MWp in Sicilia

  Energie rinnovabili e Mezzogiorno: un binomio sempre più forte che si traduce, per le aziende campane Teatek e PLC System, in una partnership finalizzata alla realizzazione di una grande centrale solare in provincia di Siracusa (Sicilia). Al...