Growatt Bulut Hizmetinde Kritik Güvenlik Açığı

Genel Bakış

Growatt bulut hizmetinde, "tesis transferi" işlevini etkileyen ciddi bir yetkilendirme açığı (CVE-2025-29757) keşfedildi. Bu açık, geçerli bir hesaba sahip kötü niyetli bir saldırganın, uygun yetkilendirme olmadan herhangi bir güneş enerjisi santralini kendi hesabına zorla aktarmasına olanak tanıyor.

CVSS-B puanı 9,4 (KRİTİK) olan  bu güvenlik açığı, Growatt'ın altyapısı için önemli riskler oluşturuyor ve etkilenen kullanıcılar için yetkisiz erişim, veri hırsızlığı ve finansal kayıplara yol açma potansiyeli taşıyor.

Teknik Detaylar

Güvenlik açığı, kullanıcı hesapları arasında santral (güneş enerjisi sistemleri) aktarımından sorumlu API veya web arayüzünde yetersiz yetkilendirme kontrolünden kaynaklanmaktadır   . Sistem, aktarımı gerçekleştirmeden önce talep eden kullanıcının hedef santral üzerinde meşru mülkiyete veya yönetim haklarına sahip olup olmadığını doğrulayamamaktadır.

Etkilenen Bileşenler

• Growatt bulut hizmeti (web ve mobil uygulama arayüzleri)
• Tesis yönetimi API'leri
• Kullanıcı hesabı izin doğrulama sistemi

Saldırı Senaryosu

Adım Adım Sömürü

1. Saldırgan Geçerli Kimlik Bilgilerini Elde Ediyor

   • Saldırgan ya meşru bir hesap oluşturur ya da kimlik avı/sosyal mühendislik yoluyla bir hesap edinir.

2. Hedef Bitkileri Belirleme

   • Saldırgan, API çağrıları veya web istekleri (örneğin, kaba kuvvet veya ağ trafiğini inceleme) yoluyla tesis kimliklerini sıralar.

3. Kusurdan Yararlanmak

   • Saldırgan,  /api/plant/transferhedef tesis kimliği ve kendi hesap kimliğiyle hazırlanmış bir HTTP isteği (örneğin, POST) gönderir.
   • Yetkilendirme kontrolü eksik olduğundan sunucu isteği işleyip tesisi transfer eder.

4. Sömürü Sonrası Etki

   • Saldırgan, aktarılan bitki üzerinde tam kontrol elde eder ve buna şunlar dahildir:
     • Enerji üretim verilerine erişim
     • Tesis ayarlarını değiştirme yeteneği
     • Potansiyel mali dolandırıcılık (eğer tesis enerji kredilerine veya faturalandırmaya bağlıysa)

Örnek Kötü Niyetli İstek

POST /api/plant/transfer HTTP/1.1  
Host: cloud.growatt.com  
Authorization: Bearer [attacker_valid_token]  
Content-Type: application/json  

{  
   "plant_id": "123456",  
   "new_owner_id": "attacker_account"  
}  

Beklenen Yanıt (eğer savunmasızsa):

{  
   "status": "success",  
   "message": "Plant transfer completed."  
}  

Sunucu saldırganın sahibi olup olmadığını doğrulamadığından  plant_id, transfer başarılı olur.

Azaltma ve Öneriler

Growatt, bu güvenlik açığını gidermek için bir yama yayınladı. Kullanıcılar ve yöneticiler şunları yapmalıdır:

1. En Son Güncellemeyi Uygula

   • Growatt bulut hizmetinin en son sürüme güncellendiğinden emin olun.

2. API Yetkilendirme Kontrollerini Uygulayın

   •  Sunucular , tesis transferlerini işleme koymadan önce hem oturum belirtecini hem de sahiplik haklarını doğrulamalıdır  .

3. Şüpheli Aktiviteyi İzleyin

   • Beklenmeyen tesis transferlerine ilişkin denetim kayıtları.
   • Hassas API uç noktalarında hız sınırlama ve anormallik tespiti uygulayın.

4. Kullanıcı Farkındalığı

   • Kullanıcılara çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmelerini ve şüpheli hesap davranışlarını bildirmelerini önerin.

Çözüm

CVE-2025-29757, bulut tabanlı enerji yönetim sistemlerindeki yetersiz yetkilendirme kontrollerinin tehlikelerini vurgulamaktadır. Growatt hizmetlerini kullanan kuruluşlar, güvenlik açıklarının kötüye kullanılmasını önlemek için yamaları derhal uygulamalı ve güvenlik yapılandırmalarını gözden geçirmelidir.

Daha fazla bilgi için Growatt'ın resmi güvenlik duyurusuna bakın veya destek ekibiyle iletişime geçin.