事件背景
- SolarMan 是一家面向光伏逆变器、监控与能量管理平台的服务商,其产品覆盖包括逆变器、数据记录器、云平台等。
- 在欧洲(尤其是荷兰)乃至全球光伏装机规模快速增长的大背景下,这类“云+逆变器”平台成为关键基础设施的一环。
- 本案例揭示了:一个平台的 超级管理员账号明文泄露 — 使攻击者理论上可远程操作近百万台装机、总量达 10 GW + 的系统。
事件经过
- 账号信息暴露
- 2019-08-05:源码托管平台 GitHub 上提交了一个公开仓库,内含 SolarMan 后台超级管理员账号及密码。 DIVD CSIRT+2Privacy Web+2
- 2019-08-05 起至 2021-04-24,该账号与密码长期可在公开状态下被访问,形成持续暴露状态。 DIVD CSIRT+1
- 研究员发现
- 2021-04-16~17:研究员 Jelle Ursem 在关注逆变器供应商数据流向时,搜索发现上述 GitHub 仓库,并利用该账号成功登录平台。 DIVD CSIRT+1
- 登录后,他发现该账号确实拥有“超级管理员”级别权限:可访问所有客户站点数据(GPS 坐标、实时/历史发电数据、故障信息)、可清除故障、下载/上传固件、创建/删除客户等。 DIVD CSIRT+1
- 影响规模
- 被影响的装机约 近 1 000 000 台电站,总装机量超过 10 GWp。其中,仅荷兰就约 40 000 台。 DIVD CSIRT+1
- 厂商响应过程
- 2021-04-17:第一次通知厂商。 2021-04-24:厂商将密码更改。 DIVD CSIRT
- 2022-02-03:研究员再度检查发现该账号密码被改回为原 GitHub 中密码。 DIVD CSIRT
- 2022-02-06:DIVD 正式立案为 DIVD-2022-00009,通知厂商并上报国家网络安全中心。 DIVD CSIRT
- 2022-07-02:GitHub 仓库删除,账号关闭/重置。事件于 DIVD 记录中标记为 “Closed”。 DIVD CSIRT
核心问题分析
- 权限失控:一个超级管理员账号可以对百万级别的光伏站点进行远程固件推送、状态监控、故障清除等操作,若被滥用可造成大面积设备失效或被转化为僵尸网络。
- 泄露方式低级且长期:账号密码被公开、无 MFA 、长时间未修复,说明运维安全、访问控制和监控机制严重不足。
- 产业链及供应链风险:该平台覆盖全球、多个国家,体现了“云平台+设备”的光伏产业链中,若中枢环节被攻破,整条链条可受影响。
- 监管与责任模糊:当厂商称“这是测试账号”“不会影响客户电站”时,研究者实际验证发现可访问真实客户数据,表明厂商对责任、信息披露和问题严重性认识不足。
最终“结局”
- 技术层面:GitHub 仓库被删除、密码重置,超级管理员账号恢复合理控制,潜在滥用主体从“任何人能搜到密码”变为“仅厂商及其控制者”。
- 状态记录:DIVD 将此案标注为已关闭(Status: Closed)且建议用户 “考虑使用该产品的风险”。 DIVD CSIRT+1
- 但依然有遗留疑问:厂商是否进行系统性安全架构重构、是否已部署端到端 MFA、多租户隔离、持续监控等措施未公开披露。
- 产业影响:该事件成为欧洲光伏产业中“云平台安全”常被引用的警示案例(如 Secura 报告中指出:该事件为“2022 年事件”且立即取得了近百万装机访问权”)。 Top Sector Energie
教训与建议(适用于 CXO/CISO 关注)
- 云平台的控制权即关键风险点:当设备大规模连接至云、具有远程管理能力时,平台权限即成为“单点失控”风险。
- 默认或残留测试账号必须彻底淘汰:测试账号若未及时关闭或仍保留高权限、无 MFA 即为严重隐患。
- 供应链安全与跨国监管须同步加强:设备厂商、平台厂商和地区用户可能处在多个法律/监管辖区,当出现安全事件时协调复杂、响应缓慢。
- 终端用户控制有限,选型需考虑安全保障:用户在选购光伏系统时,不仅看功率、成本,更应看厂商云平台的安全治理能力(比如是否采用 2FA、是否有透明披露机制、是否支持独立审核)。
- 网络安全事件可能转化为物理/系统性风险:光伏装机规模大、连接广,一旦被大规模操控,不仅是数据泄露,还可能影响电网稳定、地区电力安全。
- 开源及代码安全:为什么白帽子黑客一开始去源码托管平台 GitHub?代码的很多威胁和风险的根源在于,目前的软件中包含有大量的开源代码,CSO需要关注。
ZHIDAO.blog 
Leave a comment