Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Titel: 【Sicherheitshinweis】Sungrow iSolarCloud Android APP – Fest codierte MQTT-Anmeldedaten Schwachstelle (CVE-2024-50688)

Veröffentlichungsdatum: 20241230

Produkt: iSolarCloud Android-App & Cloud-Dienste
CVE-ID: CVE-2024-50688
Schweregrad:Mittel

Datum:20241230

Beschreibung

Die iSolarCloud Android-Anwendung und Cloud-Dienste verwenden hartcodierte MQTT-Anmeldeinformationen für den Austausch von Gerätetelemetrie. Diese Schwachstelle könnte es einem Angreifer ermöglichen, die Kommunikation zwischen Sungrow-Geräten und der iSolarCloud-Plattform abzufangen und zu manipulieren, was möglicherweise zu unbefugtem Datenzugriff oder Kontrolle über die Gerätetelemetrie führt.

Betroffene Versionen

Verletzlich: Alle Versionen V2.1.6.20241017 und früher

Nicht betroffen:V2.1.6.20241104 und später

Sicherheitsbewertung

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Die Bewertung basiert auf dem CVSS 3.1-Standard. Die Bewertungskriterien können unter

（https://www.first.org/cvss/calculator/3.1）

Minderung und Sanierung

Empfohlene Maßnahme:Kunden sollten das aktualisiereniSolarCloud Android App zur neuesten Version über den offiziellen App Store.

Patch-Release:Jetzt verfügbar.

Vorübergehende Lösung: Beschränken Sie den externen Netzwerkzugriff auf MQTT-Broker, bis das Upgrade angewendet wird.

Nutzungsstatus

Keine bekannte Ausnutzung in freier Wildbahn.

Danksagungen

Diese Schwachstelle wurde entdeckt und gemeldet von Forescout Technologies.

Erklärung

Alle Software-Updates, Patches und Dokumentationen, die von der Sungrow Power Supply Co., Ltd. bereitgestellt werden, sind das Eigentumswerk von Sungrow. Diese Materialien dürfen nur für Produktwartung und Sicherheitsverbesserungen verwendet werden. Jede unbefugte Modifikation, Verteilung, Dekompilierung oder Reverse Engineering ist strengstens untersagt.

Sungrow gibt keine ausdrücklichen oder stillschweigenden Garantien bezüglich der bereitgestellten Informationen, einschließlich, aber nicht beschränkt auf Garantien der Handelsüblichkeit, Eignung für einen bestimmten Zweck oder Nichtverletzung. Sungrow haftet nicht für direkte, indirekte, zufällige oder Folgeschäden, die aus der Verwendung dieses Dokuments oder der zugehörigen Software entstehen.

Sungrow behält sich das Recht vor, dieses Dokument jederzeit ohne vorherige Ankündigung zu aktualisieren oder zu ändern. Kunden sind dafür verantwortlich, Sicherheitsupdates zeitnah zu implementieren, um ihre Systeme zu schützen.