Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Bezpečnostní doporučení】Sungrow WiNet-S – Nesprávná kontrola integrity firmwaru (CVE-2024-50696)

Datum publikace: 20241230

Produkt:Sungrow WiNet-SCVE identifikátor:CVE-2024-50696Závažnost:Vysoká

Datum:30.12.2024

Popis

Firmware Sungrow WiNet-S postrádá během procesu aktualizace řádné kontroly integrity. Tato zranitelnost umožňuje útočníkovi odeslat specifickou MQTT zprávu k instalaci falešného souboru firmwaru hostovaného na serveru kontrolovaném útočníkem. To může vést k škodlivým modifikacím, neoprávněné kontrole nebo znefunkčnění ovlivněných zařízení.

Ovlivněné verze

Zranitelný:WINET-SV200.001.00.P025 a starší verze

Nepostiženo:WINET-SV200.001.00.P026 a novější

Hodnocení zranitelnosti

CVE-2024-50696：8.1（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）

Hodnocení je založeno na standardu CVSS 3.1. Kritéria hodnocení lze najít na

（https://www.first.org/cvss/calculator/3.1）

Zmírnění a náprava

Doporučená akce:Zákazníci by měli aktualizovat na verzi firmwareWINET-SV200.001.00.P026 nebo vyšší.

Vydání opravy:Dostupné nyní.

Dočasné řešení:Omezit přístup k síti, aby se zabránilo neoprávněným instalacím firmwaru, dokud nebude dokončena aktualizace.

Stav využití

V přírodě nejsou známé žádné exploity.

Poděkování

Tato zranitelnost byla objevena a nahlášena společností interně.

Prohlášení

Všechny aktualizace softwaru, záplaty a dokumentace poskytnuté společností Sungrow Power Supply Co., Ltd. jsou výhradním dílem společnosti Sungrow. Tyto materiály mohou být použity pouze pro údržbu produktu a zlepšení zabezpečení. Jakákoli neautorizovaná modifikace, distribuce, dekompilace nebo zpětné inženýrství je přísně zakázána.

Sungrow neposkytuje žádné výslovné nebo předpokládané záruky týkající se poskytnutých informací, včetně, ale nejen, záruk prodejnosti, vhodnosti pro konkrétní účel nebo neporušení práv. Sungrow nebude odpovědný za žádné přímé, nepřímé, náhodné nebo následné škody vzniklé použitím tohoto dokumentu nebo souvisejícího software.

Sungrow si vyhrazuje právo aktualizovat nebo upravovat tento dokument kdykoli bez předchozího upozornění. Zákazníci jsou zodpovědní za včasnou implementaci bezpečnostních aktualizací k ochraně svých systémů.