Sungrow Logo

Sungrow iSolarCloud Android-app – Hardcoded MQTT-referenties Kwetsbaarheid

Publicatiedatum 2025-03-27

De iSolarCloud Android-applicatie en clouddiensten gebruiken hardcoded MQTT-referenties voor het uitwisselen van apparaattelemetrie. Deze kwetsbaarheid zou een aanvaller in staat kunnen stellen de communicatie tussen Sungrow-apparaten en het iSolarCloud-platform te onderscheppen en te manipuleren, wat mogelijk kan leiden tot ongeautoriseerde gegevenstoegang of controle over apparaattelemetrie.

Aangetaste versies

Wij Kwetsbaar: Alle versies V2.1.6.20241017 en eerder
Niet Beïnvloed: V2.1.6.20241104 en later

Kwetsbaarheidsclassificatie

CVE-2024-50688: 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
De score is gebaseerd op de CVSS 3.1-standaard. De scorecriteria kunnen worden geraadpleegd bij (https://www.first.org/cvss/calculator/3.1

Mitigatie en Remediatie

Aanbevolen actie:Klanten moeten de iSolarCloud Android-app bijwerken naar de nieuwste versie via de officiële app store.Patch Uitgave: Nu beschikbaar.
Tijdelijke Oplossing:  Beperk externe netwerktoegang tot MQTT-brokers totdat de upgrade is toegepast.

Exploitatiestatus

Geen bekende uitbuiting in het wild.

Erkenningen

Deze kwetsbaarheid werd ontdekt en gerapporteerd door Forescout Technologies.

Verklaring

Alle software-updates, patches en documentatie die door Sungrow Power Supply Co., Ltd. worden verstrekt, zijn het eigendomsrecht van Sungrow. Deze materialen mogen alleen worden gebruikt voor productonderhoud en beveiligingsverbeteringen. Elke ongeautoriseerde wijziging, distributie, decompilatie of reverse engineering is strikt verboden.

Sungrow geeft geen uitdrukkelijke of impliciete garanties met betrekking tot de verstrekte informatie, inclusief maar niet beperkt tot garanties van verhandelbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Sungrow is niet aansprakelijk voor enige directe, indirecte, incidentele of gevolgschade die voortvloeit uit het gebruik van dit document of bijbehorende software.

Sungrow behoudt zich het recht voor om dit document op elk moment zonder voorafgaande kennisgeving bij te werken of te wijzigen. Klanten zijn verantwoordelijk voor het tijdig implementeren van beveiligingsupdates om hun systemen te beschermen.