Sungrow Logo

App Android Sungrow iSolarCloud – Vulnerabilità delle Credenziali MQTT Hardcoded

Data di Pubblicazione 2025-03-27

L'applicazione Android iSolarCloud e i servizi cloud utilizzano credenziali MQTT hardcoded per lo scambio di telemetria dei dispositivi. Questa vulnerabilità potrebbe consentire a un attaccante di intercettare e manipolare la comunicazione tra i dispositivi Sungrow e la piattaforma iSolarCloud, portando potenzialmente a un accesso non autorizzato ai dati o al controllo della telemetria dei dispositivi.

Versioni interessate

Siamo Vulnerabili:Tutte le versioni V2.1.6.20241017 e precedentiNon Affetto:V2.1.6.20241104 e successive

Valutazione della Vulnerabilità

CVE-2024-50688:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Il punteggio è basato sullo standard CVSS 3.1. I criteri di punteggio possono essere consultati a(https://www.first.org/cvss/calculator/3.1

Mitigazione e Bonifica

Azione Consigliata: I clienti dovrebbero aggiornare l'app iSolarCloud per Android all'ultima versione tramite l'app store ufficiale.
Rilascio Patch: Disponibile ora.
Soluzione Temporanea:Limita l'accesso esterno alla rete ai broker MQTT fino all'applicazione dell'aggiornamento.

Stato di Sfruttamento

Nessuno sfruttamento noto in natura.

Riconoscimenti

Questa vulnerabilità è stata scoperta e segnalata da Forescout Technologies.

Dichiarazione

Tutti gli aggiornamenti software, le patch e la documentazione forniti da Sungrow Power Supply Co., Ltd. sono opere proprietarie di Sungrow. Questi materiali possono essere utilizzati solo per la manutenzione del prodotto e il miglioramento della sicurezza. Qualsiasi modifica non autorizzata, distribuzione, decompilazione o ingegneria inversa è severamente vietata.

Sungrow non fornisce garanzie esplicite o implicite riguardo alle informazioni fornite, incluse, ma non limitate a, garanzie di commerciabilità, idoneità per un particolare scopo o non violazione. Sungrow non sarà responsabile per eventuali danni diretti, indiretti, incidentali o consequenziali derivanti dall'uso di questo documento o del software associato.

Sungrow si riserva il diritto di aggiornare o modificare questo documento in qualsiasi momento senza preavviso. I clienti sono responsabili dell'implementazione tempestiva degli aggiornamenti di sicurezza per proteggere i propri sistemi.