【ייעוץ ביטחוני】יישום MQTT ב-Sungrow iSolarCloud אפשר למשתמשים להירשם לנתוני הממירים (CVE-2025-29756)
תאריך פרסום: 10 ביולי 2025
מוצר: iSolarCloud
מזהה CVE: CVE-2025-29756
חומרה: גבוהה
תאריך: [10 ביולי 2025]
תיאור
המערכת של Sungrow למשתמשי קצה אחוריים, iSolarCloud, משתמשת בשירות MQTT כדי להעביר נתונים מהמכשירים המחוברים של המשתמש לדפדפן האינטרנט של המשתמש.
למרות זאת, לשרת ה-MQTT לא היו מספיק הגבלות כדי להגביל את הנושאים שמשתמש יכול להירשם אליהם.
התקפה עם חשבון עלiSolarCloud.comיכול לחלץ את פרטי ההתחברות של MQTT ואת מפתח הפענוח מהדפדפן ולאחר מכן להשתמש בתוכנה חיצונית כדי להירשם לנושא '#' ולקבל את כל ההודעות מכל המכשירים המחוברים.
גרסאות מושפעות
פגיע:פגיעות ה-commonService של iSolarCloud, שתוקנה ב-7 ביוני 2025, חשפה את המערכת לסיכוני אבטחה לפני תיקונה.
לֹא מוּשְׁפָּעפגיעות ה-commonService של iSolarCloud, אשר תוקנה ב-7 ביוני 2025, לא הציבה סיכון למערכת מאז תיקונה.
דירוג פגיעות
CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C)
הניקוד מבוסס על תקן CVSS 4.0. ניתן להתייחס לקריטריוני הניקוד ב-
הפחתה ותיקון
פעולה מומלצת:iSolarCloud שודרג והותקן ב-7 ביוני 2025, ללא פעולה מצד הלקוח.
שחרור תיקון:לא חל
תיקון זמני:לא חל
מצב ניצול
אין ניצול ידוע בטבע.
תודות
פגיעות זו התגלתה והודו על ידי הרם ואן דן ברינק מ-DIVD.
הצהרה
כל עדכוני התוכנה, תיקונים, ותיעוד שסופקו על ידי Sungrow Power Supply Co., Ltd. הם עבודה קניינית של Sungrow. חומרים אלו יכולים לשמש רק לתחזוקת המוצר ולשיפורי אבטחה. כל שינוי לא מורשה, הפצה, דה-קומפילציה, או הנדסה הפוכה אסורים לחלוטין.
סאנגרו לא נותנת שום ערבות מפורשת או משתמעת לגבי המידע שסופק, כולל אך לא מוגבל לערבויות של סחירות, התאמה למטרה מסוימת, או אי הפרה. סאנגרו לא תהיה אחראית לכל נזק ישיר, עקיף, מקרי או נזקי תוצאה הנובעים מהשימוש במסמך זה או בתוכנה המשויכת.
Sungrow שומרת לעצמה את הזכות לעדכן או לשנות מסמך זה בכל עת ללא הודעה מוקדמת. הלקוחות אחראים ליישם עדכוני אבטחה בזמן כדי להגן על המערכות שלהם.