Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Título: 【Aviso de Segurança】Aplicativo Android Sungrow iSolarCloud – Vulnerabilidade de Credenciais MQTT Hardcoded (CVE-2024-50688)

Data de Publicação: 20241230

Produto: iSolarCloud Aplicativo Android e Serviços em Nuvem
ID do CVE: CVE-2024-50688
Severidade:Médio

Data: 30 de dezembro de 2024

Descrição

O aplicativo Android iSolarCloud e os serviços em nuvem usam credenciais MQTT embutidas para trocar telemetria de dispositivos. Esta vulnerabilidade poderia permitir que um atacante interceptasse e manipulasse a comunicação entre os dispositivos Sungrow e a plataforma iSolarCloud, potencialmente levando a acesso não autorizado a dados ou controle sobre a telemetria do dispositivo.

Versões Afetadas

Vulnerável:Todas as versões V2.1.6.20241017 e anteriores

Não Afetado:V2.1.6.20241104 e posterior

Classificação de Vulnerabilidade

CVE-2024-50688：5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N）

A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em

(https://www.first.org/cvss/calculator/3.1)

Mitigação e Remediação

Ação Recomendada: Os clientes devem atualizar o iSolarCloud Android App para a versão mais recente através da loja de aplicativos oficial.

Liberação de Correção: Disponível agora.

Correção Temporária: Restringir o acesso à rede externa aos brokers MQTT até que a atualização seja aplicada.

Status de Exploração

Nenhuma exploração conhecida na natureza.

Agradecimentos

Esta vulnerabilidade foi descoberta e relatada por Forescout Technologies.

Declaração

Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.

A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.

A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.

Política de Privacidade Aviso Legal Política de Cookies