Name: 【Security Advisory】Sungrow WiNet-S – Hardcoded Credentials Vulnerability (CVE-2024-50692)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Hardcoded Credentials Vulnerability (CVE-2024-50692)

【Turvallisuusneuvo】Sungrow WiNet-S – Kovakoodattujen tunnistetietojen haavoittuvuus (CVE-2024-50692)

Julkaisupäivä: 20241230

Tuote: Sungrow WiNet-S
CVE-tunnus: CVE-2024-50692
Vakavuus: Korkea

Päivämäärä:30.12.2024

Kuvaus

WiNet-S-moduulin laiteohjelmisto sisältää kovakoodatut MQTT-tunnistetiedot. Tämä haavoittuvuus saattaa mahdollistaa hyökkääjän lähettää mielivaltaisia komentoja invertterille, mikä johtaa laittomaan hallintaan Sungrowin energiajärjestelmissä.

Vaikutetut versiot

Haavoittuva:WINET-SV200.001.00.P027 ja aiemmat versiot

Ei vaikuttanut: WINET-SV200.001.00.P028 ja myöhemmät

Haavoittuvuusluokitus

CVE-2024-50692: 8.1 (AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H)

Pisteytys perustuu CVSS 3.1 -standardiin. Pisteytyskriteerit voidaan tarkistaa osoitteessa

(https://www.first.org/cvss/calculator/3.1）

Vähentäminen ja Korjaus

Suositeltu toimenpide:Asiakkaiden tulisi päivittää laiteohjelmistonsa versioonWINET-SV200.001.00.P028 tai uudempi.

Korjausjulkaisu: Nyt saatavilla.

Väliaikainen korjaus:Rajoita verkko-käyttöä MQTT-portteihin, kunnes päivitys on valmis.

Hyödyntämisen tila

Ei tunnettua hyväksikäyttöä luonnossa.

Kiitokset

Tämä haavoittuvuus löydettiin ja raportoitiin Forescout Technologies.

Lausunto

Kaikki Sungrow Power Supply Co., Ltd.:n tarjoamat ohjelmistopäivitykset, korjaukset ja dokumentaatio ovat Sungrowin omaisuutta. Näitä materiaaleja saa käyttää vain tuotteen ylläpitoon ja turvallisuusparannuksiin. Kaikki luvaton muokkaus, jakelu, dekompilointi tai käänteinen insinööri on tiukasti kielletty.

Sungrow ei tee mitään nimenomaisia tai implisiittisiä takuita koskien tarjottuja tietoja, mukaan lukien, mutta ei rajoittuen, myyntikelpoisuuden, soveltuvuuden tiettyyn tarkoitukseen tai patenttirikkomusten takuita. Sungrow ei ole vastuussa mistään suorista, välillisistä, sattumanvaraisista tai seurausvahingoista, jotka johtuvat tämän asiakirjan tai liittyvän ohjelmiston käytöstä.

Sungrow pidättää oikeuden päivittää tai muokata tätä asiakirjaa milloin tahansa ilman ennakkoilmoitusta. Asiakkaat vastaavat turvallisuuspäivitysten ajantasaisesta toteuttamisesta järjestelmiensä suojaamiseksi.