【Aviso de Segurança】Sungrow WiNet-S – Vulnerabilidade de Verificação de Integridade de Firmware Impropria (CVE-2024-50696)
Data de Publicação: 20241230
Produto:Sungrow WiNet-S
ID do CVE:CVE-2024-50696
Severidade: Alto
Data: 30 de dezembro de 2024
Inversor Fotovoltaico
Sistema de Armazenamento de Energia
Produtos de Energia Inteligente
Descrição
O firmware WiNet-S da Sungrow carece de verificações de integridade adequadas durante o processo de atualização. Esta vulnerabilidade permite que um invasor envie uma mensagem MQTT específica para instalar um arquivo de firmware falso hospedado em um servidor controlado pelo invasor. Isso pode resultar em modificações maliciosas, controle não autorizado ou tornar os dispositivos afetados inutilizáveis.
Versões Afetadas
Vulnerável:WINET-SV200.001.00.P025 e versões anteriores
Não Afetado:WINET-SV200.001.00.P026 e posteriores
Classificação de Vulnerabilidade
CVE-2024-50696:8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
A pontuação é baseada no padrão CVSS 3.1. Os critérios de pontuação podem ser consultados em
Mitigação e Remediação
Ação Recomendada:Os clientes devem atualizar para a versão do firmware WINET-SV200.001.00.P026 ou superior.
Liberação de Correção: Disponível agora.
Correção Temporária: Restringir o acesso à rede para prevenir instalações não autorizadas de firmware até que uma atualização seja concluída.
Status de Exploração
Nenhuma exploração conhecida na natureza.
Agradecimentos
Esta vulnerabilidade foi descoberta e relatada internamente pela empresa.
Declaração
Todas as atualizações de software, patches e documentação fornecidos pela Sungrow Power Supply Co., Ltd. são trabalhos proprietários da Sungrow. Esses materiais só podem ser usados para manutenção do produto e melhorias de segurança. Qualquer modificação não autorizada, distribuição, descompilação ou engenharia reversa é estritamente proibida.
A Sungrow não oferece garantias expressas ou implícitas em relação às informações fornecidas, incluindo, mas não se limitando a, garantias de comercialização, adequação a um propósito específico ou não violação. A Sungrow não será responsável por quaisquer danos diretos, indiretos, incidentais ou consequentes decorrentes do uso deste documento ou software associado.
A Sungrow reserva-se o direito de atualizar ou modificar este documento a qualquer momento, sem aviso prévio. Os clientes são responsáveis por implementar atualizações de segurança de maneira oportuna para proteger seus sistemas.