សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ កំហុសនៃប្រព័ន្ធថាមពលពន្លឺព្រះអាទិត្យដែលអាចឱ្យពួក Hacker...

កំហុសនៃប្រព័ន្ធថាមពលពន្លឺព្រះអាទិត្យដែលអាចឱ្យពួក Hacker រំខានដល់បណ្តាញថាមពល

ដោយ Mura ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

ការពឹងផ្អែកកាន់តែខ្លាំងលើថាមពលពន្លឺព្រះអាទិត្យអាចនឹងបង្កើតព្រំដែនថ្មីនៃហានិភ័យសុវត្ថិភាពអ៊ីនធឺណិត។ ការស៊ើបអង្កេតនាពេលថ្មីៗនេះដោយក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត Forescout បានរកឃើញរលកនៃ ភាពងាយរងគ្រោះ ដែលប៉ះពាល់ដល់ផលិតផលប្រព័ន្ធថាមពលពន្លឺព្រះអាទិត្យពីក្រុមហ៊ុនផលិតធំៗ Sungrow, Growatt និង SMA ។ ការរកឃើញនេះបង្កើនការព្រួយបារម្ភយ៉ាងខ្លាំងអំពីភាពធន់នៃហេដ្ឋារចនាសម្ព័ន្ធថាមពលទំនើបប្រឆាំងនឹងការវាយប្រហារតាមអ៊ីនធឺណិត និងសក្តានុពលសម្រាប់ការរំខានទ្រង់ទ្រាយធំ។

ភាពងាយរងគ្រោះរាប់សិបបង្ហាញពីហេដ្ឋារចនាសម្ព័ន្ធថាមពលព្រះអាទិត្យ

ក្រុមរបស់ Forescout បានបង្ហាញភាពងាយរងគ្រោះថ្មីចំនួន 46 ដោយបន្ថែមទៅលើគុណវិបត្តិជាង 90 ដែលត្រូវបានចាត់តាំងពីមុននៅក្នុងប្រព័ន្ធថាមពលពន្លឺព្រះអាទិត្យក្នុងរយៈពេលប៉ុន្មានឆ្នាំថ្មីៗនេះ។ រលកនៃការរកឃើញចុងក្រោយបំផុតបានកំណត់គោលដៅផលិតផលពីអ្នកលក់ប្រព័ន្ធព្រះអាទិត្យកំពូលទាំង 10 របស់ពិភពលោក ដោយ Sungrow, Growatt និង SMA លេចធ្លោដោយសារតែភាពធ្ងន់ធ្ងរ និងភាពខុសគ្នានៃបញ្ហាដែលបានកំណត់។

ស្នូលនៃប្រព័ន្ធព្រះអាទិត្យទាំងនេះគឺជាឧបករណ៍បំប្លែង - ឧបករណ៍បំលែងអគ្គិសនី DC ដែលបង្កើតដោយបន្ទះស្រូបពន្លឺព្រះអាទិត្យទៅជាថាមពល AC ដែលអាចប្រើបាន។ អាំងវឺតទ័រទាំងនេះច្រើនតែរួមបញ្ចូលធាតុផ្សំដែលភ្ជាប់អ៊ីនធឺណិតសម្រាប់ការត្រួតពិនិត្យ ការគ្រប់គ្រង និងការចូលប្រើពីចម្ងាយតាមរយៈវេទិកាពពក និងកម្មវិធីទូរស័ព្ទ។ ជាអកុសល សមត្ថភាពឌីជីថលទាំងនេះកំពុងប្រែក្លាយហេដ្ឋារចនាសម្ព័ន្ធថាមពលព្រះអាទិត្យទៅជាផ្ទៃវាយប្រហារដ៏ទាក់ទាញសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។

អ្វីដែលអ្នកស្រាវជ្រាវបានរកឃើញ

  • SMA ៖ ភាពងាយរងគ្រោះតែមួយប៉ុន្តែធ្ងន់ធ្ងរអនុញ្ញាតឱ្យអ្នកវាយប្រហារបញ្ចូលឯកសារព្យាបាទទៅកាន់វេទិកាពពក ដែលវាអាចនាំទៅដល់ការប្រតិបត្តិកូដតាមអំពើចិត្តនៅលើម៉ាស៊ីនមេរបស់ SMA ដែលជាហានិភ័យធ្ងន់ធ្ងរប្រសិនបើមិនដំណើរការ។
  • Growatt ៖ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះចំនួន 30 ។ គុណវិបត្តិទាំងនេះរួមមាន ស្គ្រីបឆ្លងគេហទំព័រ (XSS) សមត្ថភាពគ្រប់គ្រងពីចម្ងាយ បញ្ហាការបង្ហាញព័ត៌មាន និងសូម្បីតែផ្លូវសម្រាប់អ្នកវាយប្រហារដើម្បីបង្កការខូចខាតរូបវ័ន្តដល់ហេដ្ឋារចនាសម្ព័ន្ធថាមពលព្រះអាទិត្យ។
  • Sungrow ៖ ភាពងាយរងគ្រោះជាងដប់មួយត្រូវបានគេរកឃើញ ដូចជា ឯកសារយោងវត្ថុផ្ទាល់ដែលមិនមានសុវត្ថិភាព (IDOR) ភាពងាយរងគ្រោះនៃការបដិសេធសេវាកម្ម (DoS) និងការគំរាមកំហែងដំណើរការកូដពីចម្ងាយ។ ទាំងនេះអាចនាំឱ្យមានការចូលប្រើដោយគ្មានការអនុញ្ញាត ការរំខានសេវាកម្ម ឬការសម្របសម្រួលពេញលេញនៃឧបករណ៍ដែលរងផលប៉ះពាល់។

ហេតុអ្វីបានជាបញ្ហានេះ៖ ការគំរាមកំហែងដល់បណ្តាញថាមពល

ប្រហែលជាគួរឱ្យព្រួយបារម្ភបំផុតគឺលទ្ធភាពនៃអ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងលើឧបករណ៍បំប្លែងដែលភ្ជាប់អ៊ីនធឺណិត។ យោងតាម Forescout ការលួចយកឧបករណ៍ទាំងនេះមួយចំនួនធំអាចអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតធ្វើឱ្យបណ្តាញអគ្គិសនីមានអស្ថិរភាព - ទាំងដោយការបំភាន់ថាមពលបញ្ចូល ឬបង្កឱ្យមានការរំខានសមកាលកម្ម។

ស្រមៃមើលអាំងវឺរទ័រដែលមានការសម្របសម្រួលរាប់រយ ឬរាប់ពាន់គ្រឿងស្រាប់តែបិទ ឬត្រូវបានកំណត់រចនាសម្ព័ន្ធខុស។ ផលប៉ះពាល់អាចបក់បោកពាសពេញបណ្តាញក្នុងស្រុក ឬសូម្បីតែថ្នាក់ជាតិ បណ្តាលឱ្យដាច់ចរន្ត ការកើនឡើងតម្រូវការលើប្រព័ន្ធបម្រុងទុក និងបង្កឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុសម្រាប់ឧបករណ៍ប្រើប្រាស់ និងប្រតិបត្តិករ។

លើសពីការរំខានក្រឡាចត្រង្គ ប្រព័ន្ធថាមពលព្រះអាទិត្យដែលត្រូវបានសម្របសម្រួលអាចត្រូវបានប្រើប្រាស់សម្រាប់៖

  • ការលួចទិន្នន័យផ្ទាល់ខ្លួន – រួមទាំងព័ត៌មានអតិថិជនដែលភ្ជាប់ទៅប្រព័ន្ធភ្ជាប់ពពក។
  • ការវាយប្រហារបណ្តាញនៅពេលក្រោយ – ដែលអ្នកវាយប្រហារផ្លាស់ទីពីឧបករណ៍បំប្លែងដែលត្រូវបានសម្របសម្រួលទៅឧបករណ៍រសើបផ្សេងទៀតនៅលើបណ្តាញតែមួយ។
  • ឧបាយកលទីផ្សារថាមពល - ដោយការជ្រៀតជ្រែកជាមួយទិន្នន័យលទ្ធផល ឬដំណើរការ។
  • ការវាយប្រហារដោយ Ransomware - ចាប់ចំណាប់ខ្មាំងហេដ្ឋារចនាសម្ព័ន្ធថាមពលព្រះអាទិត្យរហូតដល់តម្លៃលោះត្រូវបានបង់។

វឌ្ឍនភាពនៃការបំប្លែង និងការឆ្លើយតបរបស់អ្នកលក់

អ្នកលក់ដែលរងផលប៉ះពាល់ត្រូវបានជូនដំណឹង។ ទាំង SMA និង Sungrow បានឆ្លើយតបយ៉ាងរហ័ស ដោយបានជួសជុលភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណទាំងអស់ និងការផ្សព្វផ្សាយការណែនាំសម្រាប់អតិថិជន។ ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធអាមេរិក (CISA) បានបន្ទរពីភាពបន្ទាន់ដោយការចេញសេចក្តីណែនាំរបស់ខ្លួន ដោយសង្កត់ធ្ងន់លើការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃផលិតផលទាំងនេះនៅទូទាំងវិស័យថាមពលសកល។

ទោះជាយ៉ាងណាក៏ដោយ Growatt បានដោះស្រាយបញ្ហាដែលបានរាយការណ៍តែប៉ុណ្ណោះ។ គិតត្រឹមចុងខែកុម្ភៈ ឆ្នាំ 2025 ភាពងាយរងគ្រោះភាគច្រើននៅក្នុងផលិតផលរបស់វានៅតែមិនទាន់បានជួសជុលនៅឡើយ ដែលជាស្ថានភាពដែលទាក់ទងនឹងម៉ាក inverter ពន្លឺព្រះអាទិត្យឈានមុខគេមួយ។

របៀបដែលអ្នកប្រើប្រាស់អាចការពារបាន។

ការធានាបាននូវប្រព័ន្ធថាមពលពន្លឺព្រះអាទិត្យ តម្រូវឱ្យមានការឧស្សាហ៍ព្យាយាមសុវត្ថិភាពតាមអ៊ីនធឺណិតដូចគ្នានឹងហេដ្ឋារចនាសម្ព័ន្ធដែលតភ្ជាប់ផ្សេងទៀតដែរ។ Forescout និង NIST ណែនាំការអនុវត្តល្អបំផុតខាងក្រោម៖

  • ផ្លាស់ប្តូរពាក្យសម្ងាត់លំនាំដើម និងអនុវត្តការផ្ទៀងផ្ទាត់ខ្លាំង។
  • កំណត់ការចូលប្រើប្រាស់ ដោយប្រើការគ្រប់គ្រងការចូលប្រើប្រាស់ត្រឹមត្រូវ។
  • បន្តធ្វើបច្ចុប្បន្នភាពកម្មវិធីបង្កប់ និងកម្មវិធី។
  • បែងចែកបណ្តាញ ដើម្បីញែកប្រព័ន្ធព្រះអាទិត្យចេញពីឧបករណ៍ផ្សេងទៀត។
  • បម្រុងទុកការកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធ និងទិន្នន័យ ឱ្យបានទៀងទាត់។
  • ត្រួតពិនិត្យបណ្តាញ សម្រាប់សញ្ញានៃការឈ្លានពាន ឬអាកប្បកិរិយាមិនប្រក្រតី។
  • បិទមុខងារដែលមិនប្រើ ដើម្បីកាត់បន្ថយផ្ទៃវាយប្រហារ។

    • Forescout ក៏ផ្តល់ដំបូន្មានដល់ប្រតិបត្តិករប្រព័ន្ធថាមពលព្រះអាទិត្យពាណិជ្ជកម្មឱ្យរួមបញ្ចូលតម្រូវការសុវត្ថិភាពនៅក្នុងកិច្ចសន្យាលទ្ធកម្ម និងធ្វើការវាយតម្លៃហានិភ័យជាប្រចាំ។

    នៅពេលដែលបច្ចេកវិទ្យាថាមពលពន្លឺព្រះអាទិត្យត្រូវបានបញ្ចូលទៅក្នុងបណ្តាញថាមពលកាន់តែខ្លាំង សុវត្ថិភាពរបស់វាកាន់តែមានសារៈសំខាន់ដូចគ្នាទៅនឹងប្រសិទ្ធភាពរបស់វា។ ភាពងាយរងគ្រោះដែលត្រូវបានរកឃើញដោយ Forescout គឺជាការរំលឹកយ៉ាងមុតមាំថាថាមពលស្អាតមិនមានន័យថាថាមពលសុវត្ថិភាពដោយស្វ័យប្រវត្តិនោះទេ។ ប្រសិនបើគ្មានវិធានការសន្តិសុខតាមអ៊ីនធឺណិតសកម្មទេ ប្រព័ន្ធដូចគ្នាដែលត្រូវបានរចនាឡើងដើម្បីជំរុញនិរន្តរភាពអាចក្លាយជាតំណភ្ជាប់ខ្សោយនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរបស់យើង។

    ប្រតិបត្តិករ អ្នកលក់ និងអ្នកប្រើប្រាស់ត្រូវតែធ្វើសកម្មភាពឥឡូវនេះ មុនពេលអ្នកវាយប្រហារតាមអ៊ីនធឺណិតទទួលបានឱកាសដើម្បីបិទកុងតាក់។

    កំពុង​ផ្ទុក...