Kwaadwillenden kunnen via zero-days Enphase IQ Gateway overnemen

De Enphase IQ Gateway is onderdeel van de Enphase Home Energy Solution, dat de communicatie tussen Enphase Microinverters op het dak met de Enphase monitoringsoftware in de cloud verzorgt. De kwetsbaarheden zijn ontdekt door Wietse Boonstra en Hidde Smit, beide onderzoekers van het Dutch Institute of Vulnerability Disclosure (DIVD). In samenwerking met de leverancier maken de onderzoekers de beveiligingsproblemen openbaar. Daarnaast heeft DIVD als CVE Numbering Authority (CNA) zelf CVE ID's (Common Vulnerabilities and Exposure ID's) toegewezen.

De kwetsbaarheden werden door het DIVD-team gerapporteerd aan Enphase. Deze zijn verholpen in de volgende release die momenteel wordt uitgerold. DIVD werkt samen met Enphase om wereldwijd kwetsbare en blootgestelde Envoy IQ Gateways te identificeren om te helpen bij het patchen.

Volledige controle overnemen

Door de eerste drie kwetsbaarheden te combineren, kunnen cybercriminelen de volledige controle over de Enphase IQ Gateway en de aangesloten apparaten overnemen. Een gateway is alleen kwetsbaar als de Enphase-apparatuur is gekoppeld aan een niet-vertrouwd netwerk, zoals het openbare internet of een gastennetwerk thuis. Volgens de fabrikant zijn er zo’n vier miljoen systemen geïnstalleerd in meer dan 150 landen.

De energiesector is essentieel voor ons dagelijks leven, maar door de snelle energietransitie nemen de kwetsbaarheden toe. Nieuwe technologieën zoals slimme netwerken en IoT-apparaten verhogen de risico’s, vaak sneller dan de beveiligingsmaatregelen kunnen bijbenen. DIVD noemt het cruciaal om cyberbeveiliging prioriteit te geven om deze bedreigingen te beheersen.

Inloggegevens van SolarMan

In 2022 vond DIVD-researcher Jelle Ursem een GitHub repository die de inloggegevens van het Super Admin-account van SolarMan toonde. Deze waren zichtbaar voor iedereen die de pagina bezocht. Dit had cybercriminelen in staat kunnen stellen om wereldwijd ongeveer 1 miljoen zonnepanelen omvormers over te nemen, maar dankzij de 'responsible disclosure' is dit gelukkig voorkomen.

"Bij DIVD hopen we van harte dat er preventieve acties worden ondernomen om kwetsbaarheden en gebreken aan te pakken voordat er een catastrofe plaatsvindt. We hebben al meerdere kwetsbaarheden gevonden bij laadpunten en hun backends, die we hebben gerapporteerd. En volgens een onderzoek van Berenschot naar de impact van een hack op de laadinfrastructuur zou een stroomstoring ons in Nederland minstens meerdere miljarden euro's per dag kosten", licht Harm van den Brink, Onderzoeker Energie bij DIVD, toe.

Meer rapporten

Maandag 12 augustus 2024 publiceert de Rijksdienst voor Ondernemend Nederland een rapport over een onderzoek naar kwetsbaarheden in Nederlandse zonnestroomsystemen, uitgevoerd door Secura in opdracht van de Rijksdienst voor Ondernemend Nederland, op verzoek van en in samenwerking met de Topsector Energie. Tot slot werd op woensdag 7 augustus een rapport gepubliceerd door Bitdefender met kwetsbaarheden in zonneparken in de VS.

Frank Breedijk, manager CSIRT bij DIVD: "De wet van Hypponen" lijkt ook van toepassing op de energietransitie: Als het "slim" is, is het kwetsbaar. Tot nu toe bevat elk zonne-energiesysteem of laadpaal systeem dat door DIVD is onderzocht de een of andere ernstige kwetsbaarheid. DIVD zoekt actief de publiciteit op met deze cases omdat er naast een technisch probleem nu ook een maatschappelijke bezorgdheid ontstaat."