게시일 2025-03-27
iSolarCloud Android 애플리케이션과 클라우드 서비스는 장치 원격 측정을 교환하기 위해 하드코딩된 MQTT 자격 증명을 사용합니다. 이 취약점은 공격자가 Sungrow 장치와 iSolarCloud 플랫폼 간의 통신을 가로채고 조작하여 무단 데이터 접근 또는 장치 원격 측정 제어로 이어질 수 있습니다.
영향을 받는 버전
우리는 취약합니다:모든 버전 V2.1.6.20241017 및 이전영향 없음: V2.1.6.20241104 및 이후 버전
취약성 등급
CVE-2024-50688: 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
점수는 CVSS 3.1 표준에 기반합니다. 점수 기준은 (에서 참조할 수 있습니다.https://www.first.org/cvss/calculator/3.1)
완화 및 복구
권장 조치:고객은 공식 앱 스토어를 통해 iSolarCloud Android 앱을 최신 버전으로 업데이트해야 합니다.
패치 릴리스:지금 이용 가능합니다.
임시 수정:업그레이드가 적용될 때까지 MQTT 브로커에 대한 외부 네트워크 접근을 제한하세요.
활용 상태
야생에서 알려진 악용 사례가 없습니다.
감사의 말
이 취약점은 Forescout Technologies에 의해 발견 및 보고되었습니다.
성명
성그로우 파워 서플라이 주식회사가 제공하는 모든 소프트웨어 업데이트, 패치 및 문서는 성그로우의 독점적인 저작물입니다. 이 자료들은 제품 유지보수 및 보안 개선을 위해서만 사용될 수 있습니다. 무단 수정, 배포, 디컴파일 또는 리버스 엔지니어링은 엄격히 금지됩니다.
성그로우는 제공된 정보에 대해 상품성, 특정 목적에의 적합성 또는 비침해성 등을 포함하되 이에 국한되지 않는 명시적 또는 묵시적 보증을 하지 않습니다. 성그로우는 본 문서 또는 관련 소프트웨어의 사용으로 인해 발생하는 직접적, 간접적, 우발적 또는 결과적 손해에 대해 책임을 지지 않습니다.
성그로우는 사전 통지 없이 언제든지 본 문서를 업데이트하거나 수정할 권리를 보유합니다. 고객은 자신의 시스템을 보호하기 위해 보안 업데이트를 적시에 구현할 책임이 있습니다.
