【Aviso de Segurança】Sungrow WiNet-S – Vulnerabilidade de Credenciais Hardcoded (CVE-2024-50692)
Data de Publicação: 20241230
Produto:Sungrow WiNet-S
ID do CVE: CVE-2024-50692
Severidade: Alto
Data: 30 de dezembro de 2024
Inversor Fotovoltaico
Sistema de Armazenamento de Energia
Produtos de Energia Inteligente
Descrição
O firmware do módulo WiNet-S contém credenciais MQTT embutidas. Esta vulnerabilidade poderia permitir que um atacante envie comandos arbitrários a um inversor, levando ao controle não autorizado de dispositivos de energia Sungrow.
Versões Afetadas
Vulnerável:WINET-SV200.001.00.P027 e versões anteriores
Não Afetado:WINET-SV200.001.00.P028 e posteriores
Classificação de Vulnerabilidade
CVE-2024-50692:8.1(AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H)
A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em
Mitigação e Remediação
Ação Recomendada:Os clientes devem atualizar para a versão do firmware WINET-SV200.001.00.P028 ou superior.
Liberação de Correção: Disponível agora.
Correção Temporária: Restringir o acesso à rede às portas MQTT até que uma atualização seja concluída.
Status de Exploração
Nenhuma exploração conhecida na natureza.
Agradecimentos
Esta vulnerabilidade foi descoberta e relatada por Forescout Technologies.
Declaração
Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.
A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.
A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.