2023年6月22日、Palo Alto Networksは多くのルータやIoTデバイスが遠隔操作型のボットネット「Mirai」によって悪用されているとして、標的となったデバイスと脆弱性のリストを公開した。その標的の一つに太陽光発電測定システム「SolarView」がある。Ars Technicaは7月6日、「Actively exploited vulnerability threatens hundreds of solar power stations」において、依然として数百のSolarViewが脆弱な状態のままで運用されており、太陽光発電所を危険にさらしていると警告した。

SolarViewは日本のコンテックによって販売されている太陽光発電機器の測定システムである。この製品シリーズの一つであるSolarView Compact ver.6.00には、PHPスクリプトを介してコマンドインジェクションが可能な脆弱性「CVE-2022-29303」が報告されている。CVE-2022-29303のCVSS v3ベーススコアは「9.8」で、放置すると極めて重大な被害を受ける可能性があるとされている。

  • CVE-2022-29303を悪用したコマンドインジェクション攻撃の例 引用:Palo Alto Networks

    CVE-2022-29303を悪用したコマンドインジェクション攻撃の例 引用:Palo Alto Networks

Miraiボットネットは、IoT機器を主なターゲットとするマルウェアであり、侵害に成功すると標的となった機器の遠隔操作が可能となる。Palo Alto Networksによれば、SolarView CompactのCVE-2022-29303も、Miraiによって積極的に悪用された脆弱性として挙げられている。Palo Alto Networksのレポートは次のページで読むことができる。

また、NISTによる次のページでは、CVE-2022-29303に関するサードパーティによるアドバイザリが公開されている。

Ars Technicaによれば、セキュリティ企業VulnCheckによる調査の結果、600以上のSolarView機器がインターネット上でアクセス可能な状態で運用されており、そのうちの3分の2以上でCVE-2022-29303への対処がまだ行われていないことが判明したという。脆弱性を悪用されると、リモートの第三者によってSolarView Compactのシステムが乗っ取られ、結果としてこのデバイスを使用する施設の運用に大きな影響を及ぼす可能性がある。

VulnCheckの研究者は、IoT機器を運用する組織の管理者は、パブリックなネットワーク空間にどのシステムが存在するのかを確認し、依存するシステムに関する脆弱性や攻撃の情報に目を光らせるべきだと警告している。