Megurté社论部
美国网络安全局(CISA)警告说,家用太阳逆变器中的严重脆弱性。目标是主要的EG4电子产品范围,如果滥用,它可能会导致生成数据的改变并接管设备。
随着分散能源的传播,我们将以一种易于理解的方式解释房屋发电设备的意外安全风险及其对日本的影响。
内容
CISA警告的EG4太阳逆变器的脆弱性是什么?
2025年8月,美国网络安全局(CISA)被广泛用于家庭和商业目的。EG4电子太阳能逆变器具有多个严重的漏洞我做到了。
这些逆变器是将安装在家庭屋顶上的太阳能电池板与电源系统连接的关键设备,如果其安全性受损,它不仅可能影响房屋,而且会影响整个电网。
合格产品和发现漏洞的概述
CISA指出的问题涵盖了EG4的所有主要模型。在全球成千上万单元上安装的产品,例如“ 12KPV”,“ 18KPV”,“ Flex Series”,“ XP系列”和“ Gridboss”。
发现的主要漏洞是:
| 脆弱性内容 | 影响 | CVE编号 |
|---|---|---|
| 纯文本通信(无加密) | 电压和当前控制命令可以窃听并篡改 | CVE-2025-52586 |
| 没有完整性验证的农场更新 | 可以引入篡改的欺诈性农场 | CVE-2025-53520 |
| 易于猜测序列号 | 可以外部确定注册状态 | CVE-2025-47872 |
| 无限销尝试(蛮力攻击) | 可以用蛮力破坏正确的数字(在四月进行更正) | CVE-2025-46414 |
所有这些都是基本和严重的缺陷,可以作为攻击者接管系统的垫脚石。
怎么会被滥用?
如果攻击者侵入同一网络,则逆变器可以窃听和篡改以纯文本发送和接收的控制数据。这允许非法更改产生的电力或要停止的系统。
此外,由于没有固件完整性检查,因此有可能安装非法软件并连续进行控制的情况。
这些不仅是国内麻烦,而且有风险,如果许多家庭同时受到攻击,它们将传播到整个电网。特别是考虑到包括日本在内的各个国家的太阳能发电的传播不断增加,这并不是其他国家发生的事情。
为什么家庭太阳能成为国家安全风险?
这种脆弱性引起极大关注的原因是,它不仅是一家公司的产品问题,而且能源供应机制与过去发生了巨大变化。
与以前的集中能源相比,分布式能源(主要是家用太阳能)正在增加便利性,同时产生新的风险。
分散的能源和物联网的进步
随着太阳能发电,家用存储电池甚至EV充电器的传播,家庭本身已成为一家小型电厂。逆变器不仅是电力转换器,而且还加强了他们作为“物联网设备”的性格,它也可以处理与电力公司的通信并为电网供电。
因此,网络攻击的入口不是传播到电力公司的服务器,而是将安装在私人住宅中的数百万逆变器传播给。这种结构性变化是国家规模上的安全问题引起关注的原因。
从集中管理到分布式管理的变化和风险
传统上,大型发电厂对数十个位置进行了集中管理,但是分布式能源必须保护数百万节点。结果,攻击的“面”将大大扩展,强调国防成本和监视系统的挑战。
如果攻击者同时运营大量家庭逆变器,则可能会严重阻碍稳定的电力供应。随着可再生能源的引入不断增长,这是一种在日本无法忽视的风险。
国际供应链问题和中国制造的逆变器问题
EG4案件涉及美国公司的产品,但是考虑到国际能源设备市场,中国制造商的存在不容忽视。在太阳能逆变器市场中,华为,Sungrow和Ginlong Solis等中国公司的份额压倒性,使其成为全球可再生能源供应的关键。
中国制造商拥有全球份额和依赖性结构
根据2022年的数据,华为约占全球逆变器发货的29%。此后,Sungrow和Ginlong也拥有大型股票,欧洲太阳能发电能力超过200GW依靠中国制造的逆变器。这相当于200多个核电站,其安全性和可靠性对国际社会极为重要。
尽管中国制造的产品在成本和供应能力方面占主导地位,但越来越多地质疑安全性。尤其是在某些设备中发现未经批准的通信设备的报道是增加各国不信任的一个因素。
欧洲和美国的监管趋势与对策
为了应对这种情况,立陶宛在2024年制定了一项法律,禁止远程访问中国制造的逆变器。它限制了将中国制造的设备用于100kW以上的设备,从而增强了供应链安全性。同样,能源部也在美国进行研究,重点是中国制造设备的通信功能。
法规和措施的示例如下:
| 国家和地区 | 内容 |
|---|---|
| 立陶宛 | 中国制造的逆变器的远程访问(容量为100kW或更多的设备) |
| 我们 | 加强对中国设备内置的通信功能的调查 |
| 欧洲整体 | 安全风险是由于高依赖性而引起的讨论的主题 |
因此,在国际供应链安全的更大背景下,需要了解EG4漏洞,而不是在单一情况下进行理解。
影响日本太阳能市场和未来挑战
在日本,家用太阳能发电和存储电池的传播变得越来越普遍,这个问题绝不是岸边的火灾。虽然将能源设备转换为IoT增加了便利性,但安全漏洞会带来新的风险。
当前国内太阳能和安全状况
日本引入的太阳能发电设备的数量逐年增加,地方政府和国家补贴也得到了支持。但是,就安全性而言,法律法规和标准化尚未到位,许多设备留给了制造商。换句话说,当前情况是用户必须意识到自己的安全措施。
此外,由于许多海外制造的设备都在日本市场中分发,因此据报道,海外的漏洞可能直接影响国内用户。
日本公司和消费者面临的风险和准备
该CISA建议也是日本用户的“警告”。 CISA建议以下作为对策:
- 不允许从互联网直接访问
- 控制网络安装在防火墙后面,并将其与业务网络分开。
- 如果您需要远程访问,请利用VPN并始终更新到最新版本
- 如果有任何可疑行为,请将其报告给制造商或安全机构。
日本消费者还必须了解,房屋中的太阳能发电设施可能是网络攻击的入口,而不是简单地“节能设备”,并加强其家中的安全措施。
关于我