【보안 권고사항】Sungrow iSolarCloud의 MQTT 구현이 사용자가 인버터 데이터를 구독할 수 있도록 허용했습니다(CVE-2025-29756)
게시 날짜: 2025년 7월 10일
제품: iSolarCloud
CVE ID: CVE-2025-29756
심각도: 높음
날짜: [20250710]
설명
성그로우의 백엔드 사용자 시스템 iSolarCloud는 MQTT 서비스를 사용하여 사용자의 연결된 장치에서 데이터를 사용자의 웹 브라우저로 전송합니다.
그러나 MQTT 서버는 사용자가 구독할 수 있는 주제를 제한하기에 충분한 제한을 갖추지 않았습니다.
계정을 이용한 공격iSolarCloud.com브라우저에서 MQTT 자격 증명과 복호화 키를 추출한 후 외부 프로그램을 사용하여 '#' 토픽을 구독하여 연결된 모든 장치의 메시지를 수신할 수 있습니다.
영향을 받는 버전
취약한:2025년 6월 7일에 해결된 iSolarCloud commonService 취약점은 완화 전에 시스템을 보안 위험에 노출시켰습니다.
영향받지 않음: 2025년 6월 7일에 수정된 iSolarCloud commonService 취약점은 해결 이후 시스템에 위험을 초래하지 않았습니다.
취약성 등급
CVE-2025-29756:8.4 (/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:C)
점수는 CVSS 4.0 표준을 기준으로 합니다. 점수 기준은
완화 및 복구
권장 조치:iSolarCloud은 2025년 6월 7일에 업그레이드 및 수리되었으며, 고객 조치 없이 이루어졌습니다.
패치 릴리스:해당 없음.
임시 수정:해당 없음.
활용 상태
야생에서 알려진 악용 사례가 없습니다.
감사의 말
이 취약점은 에 의해 발견 및 보고되었습니다.DIVD의 Harm van den Brink.
성명
Sungrow Power Supply Co., Ltd.에서 제공하는 모든 소프트웨어 업데이트, 패치 및 문서는 Sungrow의 독점 작업입니다. 이 자료는 제품 유지보수 및 보안 개선을 위해서만 사용될 수 있습니다. 무단 수정, 배포, 디컴파일 또는 역공학은 엄격히 금지됩니다.
Sungrow는 제공된 정보에 대해 상품성, 특정 목적에의 적합성 또는 비침해성 등을 포함하되 이에 국한되지 않는 명시적 또는 묵시적 보증을 하지 않습니다. Sungrow는 이 문서 또는 관련 소프트웨어의 사용으로 인해 발생하는 직접적, 간접적, 우발적 또는 결과적 손해에 대해 책임을 지지 않습니다.
Sungrow는 사전 통지 없이 언제든지 이 문서를 업데이트하거나 수정할 권리를 보유합니다. 고객은 시스템을 보호하기 위해 보안 업데이트를 적시에 구현할 책임이 있습니다.