IT-Forscher haben sich einen Mikro-Wechselrichter von APsystems genauer angeschaut, das Modell EZ1-M. Dabei stießen sie auf Schwachstellen, die Angreifern das Unterjubeln beliebig manipulierter Firmware ermöglichen.
Lücken in den Cloud-Systemen der Wechselrichter-Hersteller sind nichts Neues. Alle größeren und kleineren Anbieter haben damit zu kämpfen. Hoymiles musste 2023 etwa Sicherheitslücken in den Clouddiensten stopfen, durch die sich Wechselrichter etwa zerstören ließen. Anfang vergangenen Jahres haben sich IT-Forscher von Forescout Photovoltaik-Anlagen näher angesehen und stießen dabei auf 46 neue Schwachstellen, während sie zunächst knapp 100 ältere bekannte Sicherheitslecks gesammelt hatten – der Großteil von denen betraf die Solar-Monitor-Systeme und die Cloud-Backends dahinter. Die konkrete Untersuchung jetzt hat jedoch einige Eigenheiten mit interessanten Methoden aufgedeckt.
Analyse mithilfe künstlicher Intelligenz
Die Mitarbeiter der kleinen IT-Sicherheitsfirma Jakkaru aus dem nordhessischen Kassel haben ihr Vorgehen und eine detailliertere Analyse veröffentlicht. Sie haben die Firmware des ESP32-C2-basierten Photovoltaik-Mikro-Wechselrichters APsystems EZ1-M untersucht und dabei die Adresse des herstellereigenen MQTT-Brokers gefunden sowie zwei zufällige Zeichenketten im Kontext. Da das Reverse Engineering der Firmware herausfordernd war, setzten die IT-Forscher auf disassemblierten C-Code, den sie der Gemini-Pro-KI zur Interpretation vorwarfen. Das habe erstaunlich gut funktioniert, sodass der Verbindungsprozess einfach nachvollziehbar wurde. Dabei stellte sich heraus, dass die Geräte-Seriennummer – eine fortlaufende, vorhersehbare Nummer – zusammen mit offenbar statischen Keys AES-verschlüsselt und das Ergebnis nochmals Base64-kodiert wird und schließlich als Username respektive Passwort für den MQTT-Brokerdienst dient.
Bei der weiteren Analyse stießen sie auf MQTT-Topics, die zum Update der Firmware „Over the air“ (OTA) dienen. Direkter Zugriff mit den generierten Zugangsdaten zum Abonnieren solcher MQTT-Topics war nicht möglich. Allerdings kennt MQTT sogenannte „Retained Messages“. Die werden umgehend und persistent an die Clients geschickt, sofern sie sich verbinden. Ein Angriff war also möglich, indem sich bösartige Akteure mit dem MQTT-Broker mit den erstellten Zugangsdaten verbinden, was die Verbindung des echten Mikro-Wechselrichters unterbricht. Dann senden Angreifer eine OTA-Update-Nachricht mit „retained“-Flag, die die eigene Seriennummer enthält. OTA-Update-Nachrichten enthalten zudem einen URL-Parameter als Download-Verknüpfung für die Firmware, den Angreifer beliebig anpassen können. Nach dem Beenden der Verbindung versucht der Wechselrichter wieder, Kontakt aufzunehmen. Er erhält die Nachricht und startet das OTA-Update.
Die IT-Forscher kommen anhand ihrer Scans auf rund 100.000 zugreifbare EZ1-M-Wechselrichter. Es können aber auch andere Geräte anfällig sein, die auf dieselben MQTT-Broker setzen. Angreifer können sich mit manipulierter Firmware etwa in Netze einnisten, DDoS-Angriffe starten, die Geräte zerstören oder etwa durch massenhafte Geräteabschaltungen Stromnetze destabilisieren, führen die Mitarbeiter weiter aus. APsystems haben sie Mitte November des Vorjahrs kontaktiert, die bis Ende Februar 2026 gebraucht haben, die Sicherheitslücken zu schließen und Tests vorzunehmen. Diese konkreten Schwachstellen sind daher inzwischen geschlossen.
(dmk)
English (US) ·