Wstęp
29 grudnia 2025 roku Polska zmagała się z paraliżującymi zamieciami śnieżnymi i siarczystym mrozem. W tej mroźnej ciszy, wewnątrz serwerowni i podstacji, rozgrywał się dramat, który mógł pozbawić ciepła setki tysięcy rodzin.
W ciągu zaledwie jednego dnia doszło do serii ataków, których ofiarą padło co najmniej 30 farm fotowoltaicznych i wiatrowych, elektrociepłownia obsługująca pół miliona mieszkańców oraz firma z sektora produkcyjnego. Pod koniec stycznia CERT Polska opublikował szczegółowy raport opisujący przebieg tych incydentów.
Serdecznie zachęcamy do zapoznania się z pełną treścią raportu – szczególnie osoby odpowiedzialne za konfigurację, utrzymanie oraz zarządzanie krytyczną infrastrukturą przemysłową.
Serwery portów szeregowych na celowniku
W niniejszym artykule skupimy się na bezpieczeństwie oraz procesie hardeningu urządzeń sieciowych wykorzystywanych w sektorze OZE. Urządzenia znajdujące się w naszej ofercie – konkretnie serwery portów szeregowych – stały się jednym z celów ataków opisanych przez CERT.
W raporcie czytamy:
„Każdy z zaatakowanych obiektów korzystał z serwerów portów Moxa NPort 6xxx. Urządzenia posiadały włączony interfejs webowy oraz domyślne dane logowania. Atakujący wykorzystał te poświadczenia w celu przywrócenia urządzeń do ustawień fabrycznych, zmiany hasła logowania oraz ustawienia adresu IP na nieosiągalny (np. 127.0.0.1). Spowodowało to natychmiastową niedostępność sprzętu, a zmiana parametrów sieciowych miała na celu maksymalne opóźnienie przywrócenia sprawności systemu. W każdym analizowanym przypadku celem były wszystkie urządzenia Moxa dostępne na obiekcie”.
Raport CERT Polska stanowi dobitny argument, by przypomnieć, jakie funkcje bezpieczeństwa oferują te urządzenia i dlaczego ich prawidłowa konfiguracja jest kluczowa.
Rola serwerów portów szeregowych w aplikacjach OZE
Serwery portów szeregowych to rozwiązania umożliwiające włączenie urządzeń z interfejsem RS-232/422/485 do sieci Ethernet. W sektorze energetycznym są one powszechnie stosowane do komunikacji z analizatorami parametrów sieci czy licznikami energii. Pozwalają na mapowanie portów COM w systemie operacyjnym oraz tunelowanie protokołu DLMS, co jest niezbędne do sprawnego monitoringu rozliczeniowego.
Dodatkowo urządzenia te często stanowią element kanału komunikacyjnego między GPO (Głównym Punktem Odbioru) a OSD (Operatorem Sieci Dystrybucyjnej). Odpowiednia architektura minimalizuje ryzyko potraktowania GPO jako bezpośredniego wektora ataku na sieć teleinformatyczną operatora.
Hardening urządzeń OT: Od czego zacząć?
Kluczowym problemem wskazanym w raporcie jest powszechne stosowanie domyślnych haseł. Z przeprowadzonego wywiadu wynika, że w branży nagminną praktyką jest dublowanie tych samych poświadczeń na wielu obiektach. W takiej sytuacji przejęcie jednego konta otwiera atakującym drzwi do całej infrastruktury firmy.
Nasze rekomendacje są jednoznaczne:
- Bezwzględna rezygnacja z domyślnych haseł.
- Usuwanie zbędnych, domyślnych kont użytkowników.
- Stosowanie unikalnych, silnych haseł dla każdego urządzenia.
W pracy zespołów inżynierskich warto wdrożyć profesjonalne menedżery haseł, które oferują funkcje bezpiecznego współdzielenia dostępów wewnątrz organizacji. Więcej o higienie haseł można przeczytać tutaj:
Funkcje bezpieczeństwa w NPort serii 6000, które warto wdrożyć:
- Ograniczenie dostępu do konsoli (Access Control List) dla zaufanych adresów IP.
- Modyfikacja zachowania przycisku RESET (blokada resetu do ustawień fabrycznych).
- Ograniczenie dostępu do portu szeregowego wyłącznie dla autoryzowanych hostów.
- Szyfrowanie transmisji (SSL/TLS) między NPortem a aplikacją nadrzędną.
- Wymuszenie bezpiecznych połączeń (HTTPS/SSH) do konsoli zarządzającej.
- Wyłączenie nieużywanych usług (np. SNMP v1/v2 na rzecz SNMP v3).
- Monitorowanie zdarzeń i przesyłanie logów do zewnętrznych systemów (np. Syslog).
Techniczny poradnik konfiguracji wyżej wymienionych funkcji dostępny jest pod tym linkiem.
Regularne aktualizacje firmware’u to fundament bezpieczeństwa OT, pozwalający na bieżąco łatać podatności (CVE) oraz poprawiać stabilność komunikacji urządzeń. Dzięki subskrypcji alertów na stronie producenta otrzymasz powiadomienie o krytycznych poprawkach natychmiast po ich wydaniu, co pozwala na błyskawiczną mitygację ryzyka. To najprostszy sposób, by nie zostać w tyle za stale ewoluującymi technikami cyberataków.
Pod tym linkiem dostępna jest instrukcja włączenia powiadomień o nowych podatnościach i oprogramowaniu dla danego produktu MOXA.
Nowa generacja w odpowiedzi na zaawansowane zagrożenia
Podczas opisywanego ataku na jednym ze sterowników PLC wgrano zmodyfikowany, złośliwy firmware. Skuteczną barierą przed takimi działaniami jest funkcja Secure Boot, która weryfikuje podpis cyfrowy wgrywanego pliku.
Warto zaznaczyć, że starsze generacje urządzeń NPort nie posiadają tej funkcji, gdyż wymaga ona odpowiednich komponentów sprzętowych. Jednak w 2025 roku Moxa wprowadziła na rynek Generację 2 (G2) swoich flagowych rozwiązań: MGate G2 oraz NPort G2, w których technologia Secure Boot jest już standardem.
Więcej o nowościach w naszym Centrum Wiedzy:
Cyberbezpieczeństwo infrastruktury OT z Elmark Automatyka
Jako autoryzowany dystrybutor rozwiązań Moxa w Polsce oraz partner TXOne Networks, Elmark Automatyka oferuje nie tylko sprzęt, ale przede wszystkim unikalne kompetencje inżynierskie. Nasz model pracy jako VAD (Value Added Distributor) to pełne wsparcie: od audytu konfiguracji pod kątem normy IEC 62443, przez projektowanie bezpiecznej architektury, aż po dostęp do serwisu w Warszawie.
Oferujemy również możliwość bezpłatnego wypożyczenia urządzeń do testów (np. przemysłowych systemów IDS/IPS). Jeśli techniki ataków opisane przez CERT Polska budzą Państwa obawy, nasi specjaliści pomogą w doborze odpowiednich mechanizmów mitygacji ryzyka.
Zapraszamy do bezpośredniego kontaktu z naszym zespołem ekspertów – wspólnie zadbajmy o bezpieczeństwo Państwa systemów OT.
