【ייעוץ ביטחוני】Sungrow iSolarCloud אפליקציית אנדרואיד – פגיעות מפתח הצפנה חלש (CVE-2024-50684)
מוצר: אפליקציית iSolarCloud לאנדרואיד
מזהה CVE: CVE-2024-50684
חומרה:בינוני
תאריך:30 בדצמבר 2024
תיאור
אפליקציית iSolarCloud לאנדרואיד משתמשת במפתח הצפנה AES לא מאובטח עם אנטרופיה לא מספקת, מה שהופך אותה לפגיעה להתקפות קריפטוגרפיות. תוקף עם גישה לתקשורת מוצפנת עשוי להיות מסוגל לפענח נתונים שנתפסו, ובכך לחשוף מידע רגיש של משתמשים.
גרסאות מושפעות
פגיע:כל הגרסאות V2.1.6.20241017 וקודמות
לֹא מוּשְׁפָּעV2.1.6.20241104 ומאוחר יותר
דירוג פגיעות
CVE-2024-50684: 6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)
הניקוד מבוסס על תקן CVSS 3.1. ניתן להתייחס לקריטריוני הניקוד ב-
הפחתה ותיקון
פעולה מומלצת:לקוחות צריכים לעדכן אתאפליקציית Android של iSolarCloudלעדכן לגרסה האחרונה דרך חנות היישומים הרשמית.
שחרור תיקון:זמין כעת
תיקון זמני:משתמשים צריכים להימנע מהתחברות לרשתות לא מהימנות ולהפעילהצפנת VPN בעת שימוש באפליקציה.
מצב ניצול
אין ניצול ידוע בטבע.
תודות
פגיעות זו התגלתה והודו על ידי טכנולוגיות Forescout.
הצהרה
כל עדכוני התוכנה, תיקונים, ותיעוד שסופקו על ידי Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלו יכולים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה, או הנדסה הפוכה אסורים לחלוטין.
סאנגרו לא נותנת שום ערבות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לערבויות של סחירות, התאמה למטרה מסוימת, או אי הפרה. סאנגרו לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או נזקי תוצאה הנובעים מהשימוש במסמך זה או בתוכנה המשויכת.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.