【보안 권고】Sungrow WiNet-S – 펌웨어 무결성 검사 취약점 (CVE-2024-50696)
발행일: 20241230
제품: Sungrow WiNet-S
CVE ID: CVE-2024-50696
심각도: 높음
날짜: 20241230
설명
Sungrow WiNet-S 펌웨어는 업데이트 과정 중 적절한 무결성 검사가 부족합니다. 이 취약점은 공격자가 특정 MQTT 메시지를 전송하여 공격자 제어 서버에 호스팅된 가짜 펌웨어 파일을 설치할 수 있게 합니다. 이는 악성 수정, 무단 제어 또는 영향을 받는 장치의 브리킹을 초래할 수 있습니다.
영향을 받는 버전
취약한: WINET-SV200.001.00.P025 및 이전 버전
영향받지 않음: WINET-SV200.001.00.P026 및 이후
취약성 등급
CVE-2024-50696: 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
점수는 CVSS 3.1 표준을 기반으로 합니다. 점수 기준은 다음에서 참조할 수 있습니다
완화 및 복구
권장 조치: 고객은 펌웨어 버전 WINET-SV200.001.00.P026 이상.
패치 릴리스: 현재 이용 가능합니다.
임시 수정: 업그레이드가 완료될 때까지 무단 펌웨어 설치를 방지하기 위해 네트워크 접근을 제한하십시오.
활용 상태
야생에서 알려진 악용 사례가 없습니다.
감사의 말
이 취약점은 회사 내부에서 발견 및 보고되었습니다.
성명
Sungrow Power Supply Co., Ltd.에서 제공하는 모든 소프트웨어 업데이트, 패치 및 문서는 Sungrow의 독점 작업입니다. 이 자료는 제품 유지보수 및 보안 개선을 위해서만 사용될 수 있습니다. 무단 수정, 배포, 디컴파일 또는 역공학은 엄격히 금지됩니다.
Sungrow는 제공된 정보에 대해 상품성, 특정 목적에의 적합성 또는 비침해성 등을 포함하되 이에 국한되지 않는 명시적 또는 묵시적 보증을 하지 않습니다. Sungrow는 이 문서 또는 관련 소프트웨어의 사용으로 인해 발생하는 직접적, 간접적, 우발적 또는 결과적 손해에 대해 책임을 지지 않습니다.
Sungrow는 사전 통지 없이 언제든지 이 문서를 업데이트하거나 수정할 권리를 보유합니다. 고객은 시스템을 보호하기 위해 보안 업데이트를 적시에 구현할 책임이 있습니다.