La ULE y el Incibe descubren una vulnerabilidad que afecta a placas solares fotovoltaicas

Investigadores del Laboratorio de Inspección Técnica de la Escuela de Minas (Litem) de la Universidad de León (ULE), en coordinación con el Instituto Nacional de Ciberseguridad (Incibe), han descubierto una vulnerabilidad que afecta a un dispositivo utilizado habitualmente para la monitorización y gestión de infraestructuras solares fotovoltaicas de mediana y gran envergadura, a la que se ha asignado el identificador CVE-2019-13529.

A nivel nacional, se han llegado a identificar un total de 368 dispositivos expuestos públicamente en Internet que podrían estar afectados por dicha vulnerabilidad; cantidad a la que habría que sumar aquellos activos no expuestos, pero de igual manera susceptibles a la explotación de la misma por usuarios malintencionados.

La explotación exitosa de esta vulnerabilidad puede permitir a un atacante la posibilidad de provocar condiciones no seguras como desconexión y reinicios no deseados en los dispositivos afectados, modificación de credenciales de usuario, activación de servicios no deseados o incluso modificación de parámetros de entrada asociados a dispositivos como sensores.

En este sentido, el Incibe dispone de capacidades de respuesta proactiva frente a este tipo de situaciones, lo que permite analizar y monitorizar el estado nacional de elementos industriales expuestos en Internet. De esta forma, es posible notificar de dicha situación en fases tempranas, a las organizaciones afectadas, reduciendo así la ventana de exposición a este riesgo por parte de este tipo de infraestructuras nacionales.

El hallazgo de la vulnerabilidad CVE-2019-13529 se enmarca dentro de los trabajos planificados en la Adenda al Convenio Marco suscrito entre ambas entidades para la realización de ‘Líneas de Investigación aplicada en Ciberseguridad Industrial’. El grupo de investigación del Litem está coordinado por el profesor Jorge Blanes y se constituye como un Servicio integrado en la ULE, que tiene el objetivo de ofrecer a la Universidad y a la sociedad en general los servicios que permite su equipamiento.