タイトル:【セキュリティアドバイザリー】Sungrow iSolarCloud Android APP – ハードコードされたMQTT認証情報の脆弱性(CVE-2024-50688)
発行日: 2024年12月30日
製品:iSolarCloud AndroidアプリとクラウドサービスCVE ID: CVE-2024-50688
重大度:中程度
日付:20241230
説明
iSolarCloud Androidアプリケーションおよびクラウドサービスは、デバイステレメトリの交換にハードコードされたMQTT資格情報を使用しています。この脆弱性により、攻撃者はSungrowデバイスとiSolarCloudプラットフォーム間の通信を傍受および操作し、不正なデータアクセスやデバイステレメトリの制御につながる可能性があります。
影響を受けるバージョン
脆弱: すべてのバージョン V2.1.6.20241017およびそれ以前
影響なし:V2.1.6.2024年11月4日 および以降
脆弱性評価
CVE-2024-50688:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
スコアリングはCVSS 3.1標準に基づいています。スコアリング基準は、
軽減と修復
推奨アクション:顧客は、更新する必要がありますiSolarCloud Androidアプリ公式アプリストアを通じて最新バージョンに更新します。
パッチリリース: 現在利用可能です。
一時的な修正:アップグレードが適用されるまで、MQTTブローカーへの外部ネットワークアクセスを制限してください。
開発状況
野生での既知の悪用はありません。
謝辞
この脆弱性は、以下によって発見および報告されました:Forescout Technologies。
声明
サングロウ電源株式会社が提供するすべてのソフトウェアアップデート、パッチ、および文書は、サングロウの所有物です。これらの資料は製品のメンテナンスとセキュリティ向上のためにのみ使用できます。無断での改変、配布、逆コンパイル、またはリバースエンジニアリングは厳禁です。
サングロウは、提供される情報について、商品性、特定目的への適合性、または非侵害に関する保証を含むがこれに限定されない、明示的または黙示的な保証を一切行いません。サングロウは、この文書または関連ソフトウェアの使用から生じる直接的、間接的、偶発的、または結果的損害について責任を負いません。
Sungrowは、事前の通知なくいつでもこの文書を更新または変更する権利を留保します。顧客は、システムを保護するためにセキュリティアップデートをタイムリーに実装する責任があります。