Name: 【Security Advisory】Sungrow WiNet-S – Hardcoded Credentials Vulnerability (CVE-2024-50692)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Hardcoded Credentials Vulnerability (CVE-2024-50692)

【Sicherheitsempfehlung】Sungrow WiNet-S – Schwachstelle durch fest codierte Anmeldedaten (CVE-2024-50692)

Veröffentlichungsdatum: 20241230

Produkt: Sungrow WiNet-S
CVE-ID: CVE-2024-50692Schweregrad:Hoch

Datum:20241230

Beschreibung

Die WiNet-S-Modulfirmware enthält hartcodierte MQTT-Anmeldedaten. Diese Schwachstelle könnte es einem Angreifer ermöglichen, beliebige Befehle an einen Wechselrichter zu senden, was zu unbefugter Kontrolle von Sungrow-Energiegeräten führt.

Betroffene Versionen

Verletzlich: WINET-SV200.001.00.P027 und frühere Versionen

Nicht betroffen: WINET-SV200.001.00.P028 und später

Sicherheitsbewertung

CVE-2024-50692：8.1（AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H）

Die Bewertung basiert auf dem CVSS 3.1-Standard. Die Bewertungskriterien können unter

（https://www.first.org/cvss/calculator/3.1）

Minderung und Sanierung

Empfohlene Maßnahme: Kunden sollten auf die Firmware-Version upgraden WINET-SV200.001.00.P028 oder höher.

Patch-Release:Jetzt verfügbar.

Vorübergehende Lösung:Beschränken Sie den Netzwerkzugriff auf MQTT-Ports, bis ein Upgrade abgeschlossen ist.

Nutzungsstatus

Keine bekannte Ausnutzung in freier Wildbahn.

Danksagungen

Diese Schwachstelle wurde entdeckt und gemeldet von Forescout Technologies.

Erklärung

Alle Software-Updates, Patches und Dokumentationen, die von der Sungrow Power Supply Co., Ltd. bereitgestellt werden, sind das Eigentumswerk von Sungrow. Diese Materialien dürfen nur für Produktwartung und Sicherheitsverbesserungen verwendet werden. Jede unbefugte Modifikation, Verteilung, Dekompilierung oder Reverse Engineering ist strengstens untersagt.

Sungrow gibt keine ausdrücklichen oder stillschweigenden Garantien bezüglich der bereitgestellten Informationen, einschließlich, aber nicht beschränkt auf Garantien der Handelsüblichkeit, Eignung für einen bestimmten Zweck oder Nichtverletzung. Sungrow haftet nicht für direkte, indirekte, zufällige oder Folgeschäden, die aus der Verwendung dieses Dokuments oder der zugehörigen Software entstehen.

Sungrow behält sich das Recht vor, dieses Dokument jederzeit ohne vorherige Ankündigung zu aktualisieren oder zu ändern. Kunden sind dafür verantwortlich, Sicherheitsupdates zeitnah zu implementieren, um ihre Systeme zu schützen.