Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Sicherheitshinweis】Sungrow WiNet-S – Unangemessene Firmware-Integritätsprüfungsschwachstelle (CVE-2024-50696)

Veröffentlichungsdatum: 20241230

Produkt: Sungrow WiNet-S
CVE-ID: CVE-2024-50696
Schweregrad:Hoch

Datum:20241230

Beschreibung

Sungrow WiNet-S-Firmware verfügt während des Update-Prozesses nicht über ordnungsgemäße Integritätsprüfungen. Diese Schwachstelle ermöglicht es einem Angreifer, eine spezifische MQTT-Nachricht zu senden, um eine gefälschte Firmware-Datei von einem vom Angreifer kontrollierten Server zu installieren. Dies könnte zu böswilligen Änderungen, unbefugter Kontrolle oder dem Bricking betroffener Geräte führen.

Betroffene Versionen

Verletzlich: WINET-SV200.001.00.P025 und frühere Versionen

Nicht betroffen:WINET-SV200.001.00.P026 und später

Sicherheitsbewertung

CVE-2024-50696：8.1（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）

Die Bewertung basiert auf dem CVSS 3.1-Standard. Die Bewertungskriterien können unter

（https://www.first.org/cvss/calculator/3.1）

Minderung und Sanierung

Empfohlene Maßnahme: Kunden sollten auf die Firmware-Version upgraden WINET-SV200.001.00.P026 oder höher.

Patch-Release:Jetzt verfügbar.

Vorübergehende Lösung: Netzwerkzugriff einschränken, um unbefugte Firmware-Installationen zu verhindern, bis ein Upgrade abgeschlossen ist.

Nutzungsstatus

Keine bekannte Ausnutzung in freier Wildbahn.

Danksagungen

Diese Schwachstelle wurde vom Unternehmen intern entdeckt und gemeldet.

Erklärung

Alle Software-Updates, Patches und Dokumentationen, die von der Sungrow Power Supply Co., Ltd. bereitgestellt werden, sind das Eigentumswerk von Sungrow. Diese Materialien dürfen nur für Produktwartung und Sicherheitsverbesserungen verwendet werden. Jede unbefugte Modifikation, Verteilung, Dekompilierung oder Reverse Engineering ist strengstens untersagt.

Sungrow gibt keine ausdrücklichen oder stillschweigenden Garantien bezüglich der bereitgestellten Informationen, einschließlich, aber nicht beschränkt auf Garantien der Handelsüblichkeit, Eignung für einen bestimmten Zweck oder Nichtverletzung. Sungrow haftet nicht für direkte, indirekte, zufällige oder Folgeschäden, die aus der Verwendung dieses Dokuments oder der zugehörigen Software entstehen.

Sungrow behält sich das Recht vor, dieses Dokument jederzeit ohne vorherige Ankündigung zu aktualisieren oder zu ändern. Kunden sind dafür verantwortlich, Sicherheitsupdates zeitnah zu implementieren, um ihre Systeme zu schützen.