Sungrow Logo

Vulnerabilidad de Credenciales MQTT Codificadas en la Aplicación Android Sungrow iSolarCloud

Fecha de publicación: 27 de marzo de 2025

La aplicación Android iSolarCloud y los servicios en la nube utilizan credenciales MQTT codificadas para intercambiar telemetría de dispositivos. Esta vulnerabilidad podría permitir a un atacante interceptar y manipular la comunicación entre los dispositivos Sungrow y la plataforma iSolarCloud, lo que podría llevar a un acceso no autorizado a datos o control sobre la telemetría del dispositivo.

Versiones Afectadas

Nosotros Vulnerables: Todas las versiones V2.1.6.20241017 y anterioresNo Afectado:V2.1.6.20241104 y posteriores

Calificación de Vulnerabilidad

CVE-2024-50688:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en(https://www.first.org/cvss/calculator/3.1)

Mitigación y remediación

Acción Recomendada:Los clientes deben actualizar la aplicación Android iSolarCloud a la última versión a través de la tienda de aplicaciones oficial.Lanzamiento de Parche: Disponible ahora.
Solución Temporal:Restringir el acceso externo a la red a los brokers MQTT hasta que se aplique la actualización.

Estado de Explotación

No se conoce explotación en la naturaleza.

Agradecimientos

Esta vulnerabilidad fue descubierta y reportada por Forescout Technologies.

Declaración

Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son el trabajo propietario de Sungrow. Estos materiales solo pueden utilizarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.

Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitado a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o del software asociado.

Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.