Sungrow Logo

APP Android Sungrow iSolarCloud – Vulnerabilidade de Credenciais MQTT Codificadas

Data de Publicação 2025-03-27

O aplicativo Android iSolarCloud e os serviços em nuvem usam credenciais MQTT embutidas para trocar telemetria de dispositivos. Esta vulnerabilidade poderia permitir que um atacante interceptasse e manipulasse a comunicação entre os dispositivos Sungrow e a plataforma iSolarCloud, potencialmente levando a acesso não autorizado a dados ou controle sobre a telemetria do dispositivo.

Versões Afetadas

Nós Vulneráveis: Todas as versões V2.1.6.20241017 e anterioresNão Afetado:V2.1.6.20241104 e posteriores

Classificação de Vulnerabilidade

CVE-2024-50688: 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em(https://www.first.org/cvss/calculator/3.1)

Mitigação e Remediação

Ação Recomendada: Os clientes devem atualizar o Aplicativo Android iSolarCloud para a versão mais recente através da loja de aplicativos oficial.
Lançamento de Patch:Disponível agora.
Correção Temporária:Restringir o acesso externo da rede aos brokers MQTT até que a atualização seja aplicada.

Status de Exploração

Nenhuma exploração conhecida na natureza.

Agradecimentos

Esta vulnerabilidade foi descoberta e relatada pela Forescout Technologies.

Declaração

Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.
 
A Sungrow não faz garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a uma finalidade específica ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.
 
A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.