【Съвет за сигурност】Sungrow WiNet-S – Уязвимост от неправилна проверка на целостта на фърмуера (CVE-2024-50696)
Дата на публикуване: 20241230
Продукт: Sungrow WiNet-S
Идентификатор на CVE: CVE-2024-50696
Степен на сериозност: Висок
Дата:30.12.2024
PV инвертор
Система за енергийно съхранение
EV Зарядно устройство
Плаваща фотоволтаична система
Интелигентни енергийни продукти
Описание
Фирмуерът Sungrow WiNet-S липсва правилни проверки за целостта по време на процеса на актуализация. Тази уязвимост позволява на нападател да изпрати специфично MQTT съобщение, за да инсталира фалшив фирмуерен файл, хостван на сървър, контролиран от нападателя. Това може да доведе до злонамерени модификации, неоторизиран контрол или блокиране на засегнатите устройства.
Засегнати версии
Уязвим: WINET-SV200.001.00.P025 и по-ранни версии
Не е повлияно: WINET-SV200.001.00.P026 и по-късни
Рейтинг на уязвимостта
CVE-2024-50696: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Резултатът се базира на стандарта CVSS 3.1. Критериите за оценка могат да бъдат препратени на
Намаляване и отстраняване
Препоръчително действие: Клиентите трябва да надградят до версия на фърмуера WINET-SV200.001.00.P026 or higher.
Издаване на пач: Налично сега.
Временно решение: Ограничете достъпа до мрежата, за да предотвратите неоторизирани инсталации на firmware, докато не бъде завършено обновяване.
Статус на експлоатация
Няма известна експлоатация в дивата природа.
Благодарности
Тази уязвимост беше открита и докладвана от компанията вътрешно.
Изявление
Всички софтуерни актуализации, кръпки и документация, предоставени от Sungrow Power Supply Co., Ltd., са собственост на Sungrow. Тези материали могат да се използват само за поддръжка на продукта и подобрения на сигурността. Всяка неупълномощена модификация, разпространение, декомпилация или обратно инженерство е строго забранена.
Sungrow не дава изрични или подразбиращи се гаранции относно предоставената информация, включително, но не само, гаранции за продаваемост, годност за определена цел или ненарушаване на права. Sungrow няма да носи отговорност за преки, косвени, случайни или последващи щети, възникнали от използването на този документ или свързан софтуер.
Sungrow си запазва правото да актуализира или променя този документ по всяко време без предварително уведомление. Клиентите са отговорни за прилагането на актуализации за сигурност навреме, за да защитят системите си.