Moltissimi sistemi per il monitoraggio e la diagnostica degli impianti fotovoltaici sono connessi a Internet senza alcuna protezione o con credenziali troppo facili da abusare.
Autore: Redazione SecurityOpenLab
Decine di migliaia di sistemi di monitoraggio e diagnostica di impianti fotovoltaici sono raggiungibili via web senza alcuna protezione, quindi sono potenziali obiettivi per i cyber criminali. Quando si parla di IoT la maggior parte delle persone è portata a pensare alle webcam domestiche, all’assistente vocale casalingo e a qualche altro accessorio di poco conto. Il caso di questa notizia dimostra l’ampiezza del problema: qualsiasi dispositivo che ha la capacità di connettersi a Internet è una potenziale fonte di rischio cyber.
Dalle elettrovalvole montate sui termosifoni dei condomìni ai pannelli fotovoltaici di ultima generazione, passando per l’irrigazione delle fioriere del terrazzo fino ad arrivare al nuovo condizionatore del soggiorno, tutti i sistemi di ultima generazione hanno una funzione che permette loro il controllo a distanza. Controllo che certamente costituisce una comodità quando fruibile dall’utente finale tramite app, o dal computer del tecnico che opera da remoto, che può magari risolvere un problema senza accedere fisicamente al sistema. Il rovescio della medaglia è che, oltre al tecnico e al legittimo utente, riescono ad accedere anche i criminali informatici.
Torniamo ai pannelli fotovoltaico: gli analisti di Cyble hanno scansionato il web alla ricerca di servizi fotovoltaici esposti a Internet e hanno rilevato 134.634 prodotti di vari fornitori. Non tutti sono necessariamente vulnerabili o configurati in modo errato, ma in qualche modo tutti consentono a visitatori non autenticati di collezionare raccogliere informazioni quali per esempio le impostazioni, facili da sfruttare poi per sferrare un attacco cyber.
È questo il motivo per il quale, anche quando i sistemi di controllo sono adeguatamente predisposti, secondo i ricercatori c’è il rischio che possano essere attaccati con malware che consegna agli attaccanti l’accesso a tali strumenti. Il rapporto evidenzia inoltre che per alcune delle vulnerabilità riscontrate è già disponibile un exploit proof of concept (PoC), il che aumenta la probabilità di attacchi.
Del resto, evidenzia Cyble, i cybercriminali svolgono periodicamente l’attività della scansione della rete alla ricerca di dispositivi esposti da aggiungere alle botnet. Da questa attività dev’essere emersa la tematica dei sistemi di controllo dei pannelli fotovoltaici e l’idea di sfruttarne le falle.
I ricercatori hanno approfittato di questa ricerca per sottolineare che per i sistemi di questo tipo c’è una reiterata negligenza manutentiva in relazione agli upgrade del firmware, che offre agli attaccanti buone possibilità di successo quando tentano di sfruttare le falle. In caso sia effettivamente indispensabile esporre su Internet dei sistemi per la manutenzione del fotovoltaico, gli esperti consigliano agli amministratori di impostare per lo meno credenziali forti e univoche e di attivare l'autenticazione a più fattori.