Lek in omvormers zonnepanelen te misbruiken bij aanval op stroomvoorziening

Vele duizenden omvormers van zonnepanelen bevatten kwetsbaarheden die te misbruiken zijn om de panelen op afstand uit te schakelen. Dat beweert een beveiligingsonderzoeker. Het ministerie van Economische Zaken onderzoekt de claims.

Onderzoeker Willem Westerhof van het Haarlemse beveiligingsbedrijf ITsec onderzocht omvormers van marktleider SMA en ontdekte een reeks beveiligingsproblemen. Onder andere wijst hij tegenover De Volkskrant op het risico van het gebruik van standaard wachtwoorden.

In een document van SMA staat dat het wachtwoord voor ‘gebruikers’ standaard op ‘0000’ staat en voor ‘installateurs’ is dat ‘1111’. Gebruikers kunnen informatie uitlezen en basisinstellingen aanpassen, installateurs kunnen ook installatieparameters wijzigen. Volgens Westerhof wordt de gebruiker niet gevraagd zijn wachtwoord aan te passen. In het installatiedocument staan wel aanbevelingen over het wijzigen van wachtwoorden.

Volgens Westerhof kunnen kwaadwillenden hoe dan een bruteforce-aanval uitvoeren om achter het wachtwoord te komen; de omvormers zouden hier niet tegen beschermd zijn. Verder spreekt hij over een ‘superwachtwoord’ waarmee toegang tot elk apparaat verkregen zou kunnen worden. Mogelijk doelt hij op de SMA Grid Guard-code die toegang geeft tot het verdeelstation in de omvormer en die elektriciens op verzoek kunnen ontvangen.

Volgens de onderzoeker is het mogelijk malware te installeren en zo in een klap grote hoeveelheden omvormers uit te schakelen. Dit zou in theorie een grote impact op de stabiliteit van het elektriciteitsnetwerk kunnen hebben. Hij heeft de kwetsbaarheden eind vorig jaar met SMA besproken, maar die zouden sindsdien nauwelijks iets gedaan hebben.

Het ministerie van Economische Zaken is in overleg met Tennet en het Nationaal Cyber Security Centrum over de bevindingen. Het ministerie stelt ‘maatregelen te nemen als blijkt dat dit noodzakelijk is’. SMA spreekt van ‘enkele zeer geïsoleerde producten’ en het uitvoeren van ‘technische correcties’. Het bedrijf heeft de kwetsbaarheden gemeld bij de Common Vulnerabilities and Exposures Authority, die deze vrijdag publiceert.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*
*
Website