Çinli mikro invertör üreticisi Hoymiles, S-Miles bulutundaki güvenlik açıklarını kısmen kapattı. Bir temsilci Haberler Online’a söyledi. Yakın zamanda yapılan bir testte, boşlukların kapatıldığını büyük ölçüde doğrulayabildik.
Duyuru
Daha fazla saldırıyı mümkün kılan en önemli boşluk kapatıldı: Testlerimizin gösterdiği gibi, üçüncü taraf sistemlerde komut yürütmek artık mümkün değil ancak bu sistemlerdeki bilgileri görüntülemek hâlâ mümkün. Bulut hâlâ sistem seri numaraları gibi ayrıntıların izinsiz olarak görüntülenmesine izin veriyor.
API yetkilendirmesi bozuldu
Özellikle güvenlik açıkları, uygulamanın uygulama arayüzündeki (API) kullanıcı yetkilendirmesindeki hatalardır. Normalde kullanıcılara yalnızca kendi sistemleri için yetki verilmesi amaçlanmıştı ancak onlara tüm DTU’lara erişim hakkı verildi. Bir Hoymiles destek çalışanı sabah Haberler’nin çevrimiçi forumuyla konuşarak soruna hızlı bir şekilde yanıt verdiklerini ve e-posta yoluyla yanıt verdiklerini açıkladı. Aslında e-postalar yayıncının sunucularına ulaşmadı, bunun nedeni muhtemelen Haber’ye Çin’de erişilememesiydi.
Homyles’a göre cihazlara uzaktan kısa devre yaptırmak hiçbir zaman mümkün olmadı. Doğru olan şu ki, bir API komutu aracılığıyla tüm röleleri etkinleştiren ve cihazı yok eden yerleşik bir kendi kendini yok etme mekanizması yoktur.
Elektriksel manipülasyon riski, uygulamayı ve API’yi inceleyen bir güvenlik araştırmacısının, değiştirilmiş donanım yazılımını Hoymiles sunucusuna gizlice sokmanın ve bunu tüm DTU’lar ve invertörlerin kullanımına sunmanın bir yolunu bulması nedeniyle ortaya çıktı. Hoymiles’ın invertörlerde kullandığı mikro denetleyicinin dokümantasyonu sayesinde, açıklanan kısa devreye neden olan veya güvenlik fonksiyonlarını (NO koruması, ada koruması) hariç tutan bir yazılım geliştirmeyi başardı. Firmware’i API aracılığıyla yüklemek için hesabına bağlı olmayan bir invertör almayı başardı. Prosedürü kendi invertöründe test etti ve belgeledi: Bir saldırgan, üçüncü taraf invertörler için güncelleme komutunu toplu olarak etkinleştirebilirdi.
Tehlike önlendi
Hoymiles hızlı bir şekilde yanıt verdi ve konuyu 27 Eylül akşamı kapattı. Yetki eksikliğinin temel sorunu çözüldüğü için üreticinin DTU’ları internete yeniden bağlanabiliyor. Yazı işleri ekibi, Hoymiles’in Alman temsilcisiyle telefonda temas halinde ve güncelleme mekanizmasındaki sorunları çözmek için nasıl ilerleneceğini tartışıyor.
(Seviyorum)
Haberin Sonu
Duyuru
Daha fazla saldırıyı mümkün kılan en önemli boşluk kapatıldı: Testlerimizin gösterdiği gibi, üçüncü taraf sistemlerde komut yürütmek artık mümkün değil ancak bu sistemlerdeki bilgileri görüntülemek hâlâ mümkün. Bulut hâlâ sistem seri numaraları gibi ayrıntıların izinsiz olarak görüntülenmesine izin veriyor.
API yetkilendirmesi bozuldu
Özellikle güvenlik açıkları, uygulamanın uygulama arayüzündeki (API) kullanıcı yetkilendirmesindeki hatalardır. Normalde kullanıcılara yalnızca kendi sistemleri için yetki verilmesi amaçlanmıştı ancak onlara tüm DTU’lara erişim hakkı verildi. Bir Hoymiles destek çalışanı sabah Haberler’nin çevrimiçi forumuyla konuşarak soruna hızlı bir şekilde yanıt verdiklerini ve e-posta yoluyla yanıt verdiklerini açıkladı. Aslında e-postalar yayıncının sunucularına ulaşmadı, bunun nedeni muhtemelen Haber’ye Çin’de erişilememesiydi.
Homyles’a göre cihazlara uzaktan kısa devre yaptırmak hiçbir zaman mümkün olmadı. Doğru olan şu ki, bir API komutu aracılığıyla tüm röleleri etkinleştiren ve cihazı yok eden yerleşik bir kendi kendini yok etme mekanizması yoktur.
Elektriksel manipülasyon riski, uygulamayı ve API’yi inceleyen bir güvenlik araştırmacısının, değiştirilmiş donanım yazılımını Hoymiles sunucusuna gizlice sokmanın ve bunu tüm DTU’lar ve invertörlerin kullanımına sunmanın bir yolunu bulması nedeniyle ortaya çıktı. Hoymiles’ın invertörlerde kullandığı mikro denetleyicinin dokümantasyonu sayesinde, açıklanan kısa devreye neden olan veya güvenlik fonksiyonlarını (NO koruması, ada koruması) hariç tutan bir yazılım geliştirmeyi başardı. Firmware’i API aracılığıyla yüklemek için hesabına bağlı olmayan bir invertör almayı başardı. Prosedürü kendi invertöründe test etti ve belgeledi: Bir saldırgan, üçüncü taraf invertörler için güncelleme komutunu toplu olarak etkinleştirebilirdi.
Tehlike önlendi
Hoymiles hızlı bir şekilde yanıt verdi ve konuyu 27 Eylül akşamı kapattı. Yetki eksikliğinin temel sorunu çözüldüğü için üreticinin DTU’ları internete yeniden bağlanabiliyor. Yazı işleri ekibi, Hoymiles’in Alman temsilcisiyle telefonda temas halinde ve güncelleme mekanizmasındaki sorunları çözmek için nasıl ilerleneceğini tartışıyor.
(Seviyorum)
Haberin Sonu