Digitální semtex v elektrické síti: nové závažné zranitelnosti střídačů Sungrow, Growatt a SMA

Odpověď přináší technická zpráva SUN:DOWN [1], zveřejněná výzkumníky z Forescout Vedere Labs. Ti analyzovali celkem šest celosvětově nejsilnějších výrobců střídačů, včetně čínských gigantů Sungrow a Growatt, a evropského SMA.

Výsledek? Úroveň kyberbezpečnosti solárních elektráren je naprosto nedostatečná. Síť je plná zranitelných střídačů, které se velmi snadno mohou stát nástrojem pro rozsáhlé útoky na rozvodnou síť. Představte si to takto: jako by někdo do sítě rozmístil tisíce náloží semtexu – ne fyzicky, ale digitálně. Jsou v domácnostech, firmách i veřejných budovách, napojené na internet a připravené nechat se vzdáleně řídit přes podobně zranitelné cloudové platformy.

Upozornění: Na tomto místě je důležité doplnit, že většina popsaných zranitelností již byla ze strany výrobců opravena a byly vydány opravné aktualizace firmwaru. Uživatelé by však měli ověřit, zda jejich zařízení používá aktuální opravenou verzi firmwaru. Podrobnosti o konkrétních aktualizacích a způsobu jejich instalace jsou dostupné na webových stránkách jednotlivých výrobců.

Střídače Sungrow, Growatt a SMA nedostatečně zabezpečeny

Výzkum společnosti Forescout Research's Vedere Labs, zveřejněný pod názvem SUN:DOWN [1], odhalil kritické zranitelnosti v solárních střídačích, které mohou vážně ohrozit stabilitu elektrických sítí. Analýza se zaměřila na šest hlavních výrobců solárních střídačů: Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe a SMA Solar Technology. U tří z nich – Sungrow, SMA a Growatt – bylo identifikováno téměř 50 nových zranitelností, z nichž některé umožňují vzdálené převzetí kontroly nad zařízeními, krádež dat nebo manipulaci s výkonem solárních elektráren. Tyto chyby se týkají firmwaru samotného střídače, přídavných komunikačních modulů (např. WiNet-S), mobilních aplikací (např. iSolarCloud) i cloudové infrastruktury. Například aplikace iSolarCloud od čínského výrobce Sungrow obsahovala několik kritických slabin, včetně slabého šifrování komunikace.

Co všechno umožňují chyby ve střídačích?

Níže uvedené případy jsou pouze výběr z nejzávažnějších zranitelností identifikovaných ve studii SUN:DOWN [1]. Kompletní seznam zranitelností, včetně technických detailů a identifikátorů CVE, je uveden v plné verzi studie.

1. Zranitelnost CVE-2024-50684: místo skutečného šifrování pouze iluze

Tato zranitelnost se týká způsobu, jakým aplikace iSolarCloud od společnosti Sungrow šifruje citlivá data při jejich odesílání na server. Na první pohled působí systém důvěryhodně – využívá šifrování pomocí AES a klíč chrání veřejným RSA klíčem. Ve skutečnosti však má celý mechanismus zásadní slabiny, které šifrování degradují na pouhou iluzi bezpečnosti.

Aplikace pro každou komunikaci vytváří nový AES klíč, který šifruje pomocí veřejného RSA klíče – ten je ale natvrdo zapsaný v kódu. AES klíč navíc vzniká s velmi nízkou entropií, takže ho lze prolomit během několika sekund. Výsledkem je, že jakýkoli útočník může komunikaci snadno dešifrovat. Zjednodušeně řečeno: aplikace sice „vypadá“ jako by šifrovala, ale používá metody, které jakýkoli zkušenější útočník snadno obejde. Jedná se tak o maskování, nikoli skutečné šifrování.

Na tomto místě je potřeba upozornit, že techniky záměrného oslabení kryptografie se historicky velmi často objevovaly v tzv. backdoorech – tedy skrytých mechanismech, které umožňují přístup k systému bez vědomí uživatele. Ačkoliv v tomto konkrétním případě nechci spekulovat o motivech výrobce, zvolený způsob šifrování nese technické znaky, které by v jiném kontextu byly považovány za závažné porušení zásad bezpečného návrhu a případný možný backdoor. V kombinaci s dalšími zjištěnými slabinami – jako je nedostatečné ověřování certifikátů, viz další bod – vzniká prostředí, které je pro útočníka mimořádně atraktivní a snadno zneužitelné. A to i bez fyzického přístupu ke konkrétnímu zařízení.

Co to znamená pro běžného uživatele? Citlivá data, která posílá vaše zařízení, je možné dešifrovat a analyzovat. Útočník tak může zvenčí získat přehled o vaší výrobě, poloze, používaném hardwaru nebo dokonce přístupových údajích – a na základě toho převzít kontrolu nad střídačem, odpojit ho od cloudu nebo jej zneužít k dalšímu útoku.

2. Zranitelnost CVE-2024-50691: Nedostatečná kontrola certifikátů

Aplikace Sungrow iSolarCloud pro Android sice používala šifrovanou komunikaci (TLS/SSL), ale byla nakonfigurována tak, aby ignorovala chyby, tj. přijímala jakýkoli certifikát bez ověření, zda je platný nebo ne.

Co to znamená pro běžného uživatele? Útočník může provést tzv. Man-in-the-Middle útok, kdy se dostane mezi uživatele (aplikaci nebo zařízení) a cloudovou službu. Zařízení nebo aplikace, která ignoruje chyby certifikátu, není schopná ověřit, zda opravdu komunikuje s důvěryhodným serverem. To znamená, že veškerá komunikace může být odposlouchávána, upravována nebo přesměrována na falešný server řízený útočníkem. Výsledkem může být únik přihlašovacích údajů, převzetí účtu, manipulace s výrobou střídače nebo trvalé odpojení od originální cloudové platformy.

3. Zranitelnost CVE-2023-41665-41667: nedostatečné ověření oprávnění

V platformě čínského výrobce Growatt bylo možné resetovat heslo libovolného účtu zadáním pouze uživatelského jména nebo e-mailu – bez jakéhokoli následného ověření identity. Útočník tak mohl převzít cizí účet, změnit registrovaný e-mail a resetovat heslo tak, aby mu bylo doručeno. Po přihlášení do portálu nebo mobilní aplikace mohl získat plnou kontrolu nad účtem i připojeným zařízením: mohl měnit nastavení střídače, sledovat výrobu nebo zařízení trvale odpojit.

Co to znamená pro běžného uživatele? Bezpečnost vašeho účtu nezávisí na síle hesla, ale na tom, kdo zná váš e-mail. V praxi to znamená, že váš systém mohl být převzat během několika vteřin – bez nutnosti prolomit heslo nebo mít fyzický přístup k zařízení.

Zranitelnosti jsou dlouhodobý problém

Studie SUN:DOWN [1] neřešila pouze nové zranitelnosti, ale také systematicky zmapovala všechny známé zranitelnosti v oblasti solárních systémů, které byly do konce roku 2023 zveřejněny v rámci veřejných databází CVE (Common Vulnerabilities and Exposures). Forescout identifikoval 93 zranitelností ve 34 různých výrobcích, z nichž více než 80 % mělo závažnost označenou jako high nebo critical (CVSS skóre 8.8–10).

Typické slabiny, které se opakují napříč výrobci:

• Neautentizovaný přístup k webovým rozhraním: Řada střídačů nebo jejich komunikačních modulů měla (anebo stále má) webová rozhraní dostupná komukoliv, bez vyžadování přihlášení. V některých případech byla dokonce přístupná bez hesla i administrátorská konzole.
• Výchozí přihlašovací údaje bez možnosti změny: U některých modelů střídačů bylo (a u některých stále je) přihlášení chráněno pouze výchozím jménem a heslem typu admin/admin, přičemž uživatelé často nemají možnost nebo instrukce, jak tyto údaje změnit. Pokud se střídač instaluje „tak jak je z výroby“, může být okamžitě zneužit – zejména v kombinaci s chybou vystavení střídače napřímo do veřejného internetu.
• Nešifrovaná nebo nezabezpečená komunikace (např. MQTT, Modbus TCP): Řada zařízení komunikuje s cloudem nebo nadřazeným systémem prostřednictvím nešifrovaných protokolů. Typickým příkladem je Modbus TCP, totéž platí pro MQTT instance bez TLS. Útočník může snadno odposlechnout data (např. stav zařízení), nebo ještě hůř – podvrhnout příkazy střídači. To může vést k náhlé změně výkonu, vypnutí zařízení nebo dokonce jejich fyzickému poškození.
• Aktualizace firmwaru bez kontroly podpisu: Některé starší modely střídačů umožňují aktualizaci firmwaru přes USB, sériové rozhraní nebo vzdáleně – ale bez ověřování digitálního podpisu. To znamená, že zařízení akceptuje jakýkoliv firmware, pokud má správný formát. Ve výsledku může být střídač trvale infikován škodlivým kódem – tzv. firmware implant, který přežije i restart nebo reset do továrního nastavení. To se dá využít jako neviditelná zadní vrátka.

Mezinárodní reakce: Evropa i USA zpřísňují

V reakci na výše uvedená rizika již některé státy přijaly opatření:

• Litva (2024): zakázala vzdálený přístup čínských výrobců k decentralizovaným zdrojům energie. K tomuto zákazu došlo po kompromitaci systému Sungrow hackerskou skupinou s vazbami na Čínu a Rusko.
• Estonsko (2023): označilo některé čínské technologie v kritické infrastruktuře za rizikové, zejména v sektoru obnovitelných zdrojů.
• Velká Británie: zakázala prodej některých čínských Wallboxů kvůli nedostatečnému zabezpečení a možnému zneužití státem sponzorovanými aktéry nebo přímo státem.
• USA: dlouhodobě varují před používáním čínských technologií v energetické infrastruktuře (např. Huawei, Hikvision, Dahua, TP-Link) a uvažují o omezení importu střídačů z Číny.

A co můžete udělat vy?

Investoři, developeři, zadavatelé projektů

• Neposuzujte technologie jen podle ceny a účinnosti, ale také podle kybernetické bezpečnosti – zranitelný střídač může ohrozit celý provoz nebo vaši reputaci.
• Preferujte výrobce, kteří mají dlouhodobou historii v oblasti bezpečnosti, etablované interní kyberbezpečnostní týmy, bug bounty programy nebo spolupracují s výzkumníky.
• Zvažujte pouze ověřené výrobce, kteří splňují bezpečnostní normy a podléhají GDPR a evropské legislativě.
• Zeptejte se na způsob připojení ke cloudu, fyzické umístění serverů a možnost provozovat zařízení i bez cloudového připojení (lokální režim).

Uživatelé a provozovatelé

• Po instalaci vždy změňte výchozí hesla a přístupové údaje.
• Oddělte střídač od ostatních zařízení v síti (např. VLAN nebo samostatná Wi-Fi).
• Pravidelně kontrolujte, zda výrobce vydal aktualizace firmwaru – a zda se je daří instalovat.
• Pokud to cloudová platforma umožňuje, aktivujte dvoufaktorové ověření.

Instalatéři a dodavatelé

• Instalaci by měla vždy doprovázet základní bezpečnostní konfigurace – změna výchozího hesla, kontrola přístupových portů, vysvětlení rizik zákazníkovi.
• Preferujte výrobce, kteří mají transparentní politiku aktualizací, veřejně hlášené zranitelnosti (CVE) a možnost kontaktovat bezpečnostní tým.

Regulátoři a státní správa

• Zařadit solární střídače mezi sledované prvky kritické infrastruktury, minimálně v agregovaném měřítku.
• Podporovat sdílení informací o incidentech a zranitelnostech, a to včetně informování širší veřejnosti
• Zohlednit při certifikaci zařízení i jejich původ a legislativní prostředí, ve kterém fungují cloudové služby

Solární technologie ano, ale ne za každou cenu

Zpráva SUN:DOWN [1] není ojedinělým výkřikem do tmy. Je dalším dílkem do rostoucí mozaiky důkazů, že kyberbezpečnost v oblasti solární energetiky dramaticky zaostává za jejím technickým rozvojem. Přitom právě solární technologie dnes tvoří páteř energetické transformace – a jejich spolehlivost a odolnost jsou tak přímo klíčové pro budoucí stabilitu celé sítě.

Zjištěné zranitelnosti nejsou jen „technické detaily“ – představují přímou cestu k manipulaci s výrobou nebo dokonce destabilizaci sítě. Takové zranitelnosti by dnes neměly být akceptovatelné ani u levného IoT zařízení do domácnosti, natož u technologie, která aktivně řídí tok energie v síti.

Drtivá většina zjištěných chyb vznikla kvůli prosté lhostejnosti výrobců, šetření na bezpečnosti a někdy i neochotě reagovat na hlášení výzkumníků. To už není jen selhání konkrétního vývojáře – je to systémový problém, který z bezpečnostního pohledu degraduje celý solární sektor.

Obnovitelné zdroje bezpochyby patří k budoucnosti energetiky. Ale pokud chceme, aby byly skutečně spolehlivou a bezpečnou náhradou za tradiční energetické zdroje, musí být chráněny minimálně stejně důsledně jako jakýkoli jiný prvek kritické infrastruktury.

Zdroj

1. S. Dashevskyi, F. La Spina, and D. dos Santos, “SUN:DOWN: Destabilizing the Grid via Orchestrated Exploitation of Solar Power Systems.” Accessed: Mar. 28, 2025. [Online]. Available:
   https://www.forescout.com/resources/sun-down-research-report/