Sungrow Logo

Aplikace Sungrow iSolarCloud pro Android – zranitelnost hardcoded MQTT přihlašovacích údajů

Datum zveřejnění 2025-03-27

Aplikace iSolarCloud pro Android a cloudové služby používají pevně zakódované přihlašovací údaje MQTT pro výměnu telemetrie zařízení. Tato zranitelnost by mohla umožnit útočníkovi zachytit a manipulovat s komunikací mezi zařízeními Sungrow a platformou iSolarCloud, což by mohlo vést k neoprávněnému přístupu k datům nebo kontrole nad telemetrií zařízení.

Ovlivněné verze

Jsme zranitelní:Všechny verze V2.1.6.20241017 a staršíNepodléhá: V2.1.6.20241104 a později

Hodnocení zranitelnosti

CVE-2024-50688:  5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze nalézt na (https://www.first.org/cvss/calculator/3.1

Zmírnění a náprava

Doporučená opatření: Zákazníci by měli aktualizovat aplikaci iSolarCloud Android App na nejnovější verzi prostřednictvím oficiálního obchodu s aplikacemi.
Vydání opravy:Nyní dostupné.
Dočasná oprava: Omezit externí přístup k síti pro MQTT brokery až do aplikace aktualizace.

Stav využití

V přírodě nejsou známé žádné exploity.

Poděkování

Tato zranitelnost byla objevena a nahlášena společností Forescout Technologies.

Prohlášení

Všechny softwarové aktualizace, záplaty a dokumentace poskytované společností Sungrow Power Supply Co., Ltd. jsou vlastnickým dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktů a zlepšení zabezpečení. Jakákoli neoprávněná modifikace, distribuce, dekompilace nebo reverzní inženýrství je přísně zakázána.

Sungrow neposkytuje žádné výslovné nebo předpokládané záruky ohledně poskytnutých informací, včetně, ale ne omezeno na, záruk obchodovatelnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nenese odpovědnost za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího softwaru.

Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou odpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.