太阳能发电系统存在严重缺陷，黑客可利用这些缺陷破坏电网

通过Mura在计算机安全

翻译为：

对太阳能的日益依赖可能正在创造新的网络安全风险。网络安全公司 Forescout 最近的一项调查发现了一系列令人不安的漏洞，影响了主要制造商 Sungrow、Growatt 和 SMA 的太阳能系统产品。这些发现引发了人们对现代能源基础设施抵御网络攻击的弹性以及大规模破坏可能性的严重担忧。

Forescout 团队发现了 46 个新漏洞，加上近年来太阳能系统中已发现的 90 多个漏洞。最新发现的漏洞针对的是全球十大太阳能系统供应商的产品，其中阳光电源、古瑞瓦特和 SMA 因发现的问题严重性和多样性而脱颖而出。

这些太阳能系统的核心是逆变器，即把太阳能电池板产生的直流电转换成可用的交流电的设备。这些逆变器通常包括互联网连接组件，用于通过云平台和移动应用进行监控、控制和远程访问。不幸的是，这些数字功能正在将太阳能基础设施变成网络犯罪分子的攻击面。

SMA ：一个严重漏洞允许攻击者将恶意文件上传到云平台，从而可能导致在 SMA 的服务器上执行任意代码——如果不加以修补，将面临严重风险。
Growatt ：研究人员发现了多达 30 个漏洞。这些漏洞包括跨站点脚本 (XSS)、远程接管功能、信息泄露问题，甚至还有攻击者对太阳能基础设施造成物理损坏的途径。
阳光电源：发现了十多个漏洞，例如不安全的直接对象引用 (IDOR)、拒绝服务 (DoS) 漏洞和远程代码执行威胁。这些漏洞可能导致未经授权的访问、服务中断或受影响设备的完全入侵。

最令人担忧的可能是攻击者可能控制大量联网逆变器。据 Forescout 称，劫持大量此类设备可能让网络犯罪分子破坏电网稳定——无论是通过操纵能源输入还是造成同步中断。

想象一下，数百或数千台受感染的逆变器突然关闭或配置错误。这种影响可能会波及当地甚至全国电网，导致停电、备用系统需求激增，并给公用事业和运营商带来经济损失。

除了电网中断之外，受损的太阳能系统还可以用于以下用途：

受影响的供应商已收到通知。SMA 和 Sungrow 都迅速做出反应，修补了所有已发现的漏洞并向客户发布了警告。美国网络安全和基础设施安全局 (CISA) 也发布了自己的警告，强调这些产品在全球能源领域广泛使用，以此呼应紧迫性。

然而，古瑞瓦特仅解决了少数已报告的问题。截至 2025 年 2 月底，其产品中的大多数漏洞仍未得到修补——对于领先的太阳能逆变器品牌之一来说，这是一个令人担忧的现状。

保护太阳能系统需要与保护其他任何连接基础设施一样的网络安全努力。Forescout 和 NIST 建议采取以下最佳实践：

使用适当的访问控制限制访问。

保持固件和软件更新。

分段网络以将太阳能系统与其他设备隔离。

定期备份系统配置和数据。

监控网络是否有入侵或异常行为的迹象。

禁用未使用的功能以减少攻击面。

Forescout 还建议商业太阳能系统运营商在采购合同中纳入安全要求并定期进行风险评估。

随着太阳能技术越来越多地融入电网，其安全性变得与效率同样重要。Forescout 发现的漏洞清楚地提醒我们，清洁能源并不一定意味着安全能源。如果没有主动的网络安全措施，旨在推动可持续发展的系统可能会成为我们关键基础设施的薄弱环节。

运营商、供应商和用户必须立即采取行动——在网络攻击者有机会打开开关之前。

搜索