【Aviso de Seguridad】Sungrow WiNet-S – Vulnerabilidad de Credenciales Fijas (CVE-2024-50692)
Fecha de Publicación: 30 de diciembre de 2024
Producto: Sungrow WiNet-S
ID de CVE: CVE-2024-50692
Gravedad:Alto
Fecha: 20241230
Inversor Fotovoltaico
Sistema de almacenamiento de energía
Productos Inteligentes de Energía
Descripción
El firmware del módulo WiNet-S contiene credenciales MQTT codificadas. Esta vulnerabilidad podría permitir a un atacante enviar comandos arbitrarios a un inversor, conduciendo al control no autorizado de dispositivos de energía Sungrow.
Versiones Afectadas
Vulnerable: WINET-SV200.001.00.P027 y versiones anteriores
No Afectado: WINET-SV200.001.00.P028 y posteriores
Calificación de Vulnerabilidad
CVE-2024-50692:8.1(AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H)
La puntuación se basa en el estándar CVSS 3.1. Los criterios de puntuación se pueden consultar en
Mitigación y remediación
Acción Recomendada:Los clientes deben actualizar a la versión de firmwareWINET-SV200.001.00.P028 o superior.
Lanzamiento de Parche: Disponible ahora.
Solución temporal: Restringir el acceso a la red a los puertos MQTT hasta que se complete una actualización.
Estado de Explotación
No se conoce explotación en la naturaleza.
Agradecimientos
Esta vulnerabilidad fue descubierta y reportada porForescout Technologies.
Declaración
Todas las actualizaciones de software, parches y documentación proporcionados por Sungrow Power Supply Co., Ltd. son trabajo propietario de Sungrow. Estos materiales solo pueden usarse para el mantenimiento del producto y mejoras de seguridad. Cualquier modificación no autorizada, distribución, descompilación o ingeniería inversa está estrictamente prohibida.
Sungrow no hace garantías expresas o implícitas con respecto a la información proporcionada, incluyendo pero no limitándose a garantías de comerciabilidad, idoneidad para un propósito particular o no infracción. Sungrow no será responsable por ningún daño directo, indirecto, incidental o consecuente que surja del uso de este documento o software asociado.
Sungrow se reserva el derecho de actualizar o modificar este documento en cualquier momento sin previo aviso. Los clientes son responsables de implementar actualizaciones de seguridad de manera oportuna para proteger sus sistemas.