【ייעוץ אבטחה】Sungrow WiNet-S – פגיעות בבדיקת שלמות קושחה לא תקינה (CVE-2024-50696)
תאריך פרסום: 20241230
מוצר: סאנגרו ויינט-אס
מזהה CVE: CVE-2024-50696
חומרה:גבוה
תאריך:30 בדצמבר 2024
תיאור
ל-Sungrow WiNet-S firmware חסרות בדיקות שלמות נאותות במהלך תהליך העדכון. פגיעות זו מאפשרת לתוקף לשלוח הודעת MQTT ספציפית כדי להתקין קובץ מזויף של ה-firmware שמאוחסן בשרת בשליטת התוקף. זה יכול לגרום לשינויים זדוניים, שליטה לא מורשית, או השבתת המכשירים המושפעים.
גרסאות מושפעות
פגיע:WINET-SV200.001.00.P025 וגרסאות קודמות
לֹא מוּשְׁפָּעWINET-SV200.001.00.P026 ומאוחר יותר
דירוג פגיעות
CVE-2024-50696: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
הניקוד מבוסס על תקן CVSS 3.1. ניתן להתייחס לקריטריוני הניקוד ב-
הפחתה ותיקון
פעולה מומלצת:הלקוחות צריכים לשדרג לגרסת תוכנת הבסיסWINET-SV200.001.00.P026 או גבוה יותר.
שחרור תיקון:זמין כעת
תיקון זמני:הגבל גישה לרשת כדי למנוע התקנות קושחה בלתי מורשות עד להשלמת שדרוג.
מצב ניצול
אין ניצול ידוע בטבע.
תודות
פגיעות זו התגלתה ודווחה על ידי החברה באופן פנימי.
הצהרה
כל עדכוני התוכנה, תיקונים, ותיעוד שסופקו על ידי Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלו יכולים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה, או הנדסה הפוכה אסורים לחלוטין.
סאנגרו לא נותנת שום ערבות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לערבויות של סחירות, התאמה למטרה מסוימת, או אי הפרה. סאנגרו לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או נזקי תוצאה הנובעים מהשימוש במסמך זה או בתוכנה המשויכת.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.