近日，網絡安全公司Forescout旗下研究機構Vedere Labs發布了一份重磅報告，披露了全球三大領先太陽能逆變器制造商——尚德（Sungrow）、固德威（Growatt）和SMA的產品中存在多達46個安全漏洞。

這些漏洞可能被攻擊者利用，遠程控制設備或在廠商的云平臺上執行惡意代碼，潛在影響被評估為“嚴重”，可能威脅電網穩定和用戶隱私。

漏洞詳情與潛在威脅

根據Vedere Labs的研究，這46個漏洞主要涉及尚德、固德威和SMA的光伏逆變器產品。作為全球排名前六的制造商，這三家企業的設備廣泛應用于光伏發電系統。報告指出，這些漏洞可能導致未經授權訪問云平臺資源、遠程代碼執行（RCE）、設備劫持、信息泄露，甚至引發物理損壞或拒絕服務攻擊（DoS）。

其中，SMA產品僅涉及一個漏洞（CVE-2025-0731）。攻擊者可通過上傳惡意.ASPX文件至SMA的“Sunny Portal”光伏監控平臺，實現遠程代碼執行。而對于尚德和固德威的逆變器，攻擊路徑更為多樣且影響深遠。研究人員在報告中詳細描述了如何利用這些新披露的漏洞“劫持”逆變器。

對于固德威的逆變器，攻擊者僅通過云端后端即可輕松接管設備。報告稱，攻擊者可通過暴露的API無需認證即可枚舉用戶名，隨后利用兩個不安全的直接對象引用（IDOR）漏洞接管賬戶，或通過兩個存儲型跨站腳本（XSS）漏洞注入JavaScript竊取憑證。獲得訪問權限后，攻擊者可操作逆變器，例如開關設備或修改配置參數，盡管控制并非完全的。

相比之下，尚德的逆變器接管過程“稍顯復雜”，涉及多個漏洞組件。攻擊者可通過IDOR漏洞（如CVE-2024-50685、CVE-2024-50693、CVE-2024-50686）從后端獲取通信加密狗序列號，利用硬編碼的MQTT憑證（CVE-2024-50692）發布針對特定逆變器的消息，再通過堆棧溢出漏洞（CVE-2024-50694、CVE-2024-50695、CVE-2024-50698）發送精心構造的消息，在連接逆變器的通信加密狗上實現遠程代碼執行。這些漏洞被評級為“嚴重”，若攻擊者控制大量設備，威脅將成倍放大。

對電網的潛在沖擊

研究人員警告，若攻擊者控制住宅或商用逆變器群，可能會通過調節功率輸出擾亂電網供需平衡。報告指出，每臺逆變器可在光伏面板當前生產水平范圍內調整發電量，若多臺被劫持的逆變器協同作用，可能對電網產生“顯著影響”。在極端情況下，攻擊者可將逆變器組成僵尸網絡，在高峰時段協調降低發電量，進而影響電網負載。

Vedere Labs進一步解釋，攻擊者可通過“逆向調節逆變器功率輸出”對抗主控系統。當主控系統試圖降低負載時，攻擊會迅速減少所有負載，迫使主控系統提升負載，隨后攻擊者立即增加負載。這種反復操作可能導致電網不穩定，甚至造成嚴重破壞。

除了對電網的威脅，這些漏洞還可能被用于竊取用戶隱私或發起勒索攻擊。攻擊者可通過廠商云平臺劫持智能家居設備，或鎖住逆變器并索要贖金。研究人員強調，這些場景不僅影響能源安全，還可能波及普通用戶的日常生活。

廠商積極響應與修復

報告稱，尚德和SMA已修補所有報告的漏洞。尚德在修復后主動尋求確認，并表示愿意持續改進安全態勢。固德威也已發布補丁，且無需用戶對逆變器進行硬件調整。Vedere Labs對廠商的積極響應表示認可，但也呼吁行業進一步關注光伏設備的安全性。

結語

此次漏洞披露為光伏行業再次敲響警鐘，隨著可再生能源的普及，光伏逆變器作為光伏系統的核心組件，其安全性愈發重要。Forescout在報告中呼吁制造商和用戶共同努力，提升設備和云平臺的安全防護，以應對日益復雜的網絡威脅。