Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Beveiligingsadvies】Sungrow WiNet-S – Onjuiste Integriteitscontrole van Firmware Kwetsbaarheid (CVE-2024-50696)

Publicatiedatum: 20241230

Product:Sungrow WiNet-S
CVE ID: CVE-2024-50696
Ernst: Hoog

Datum:30-12-2024

Beschrijving

De Sungrow WiNet-S firmware mist de juiste integriteitscontroles tijdens het updateproces. Deze kwetsbaarheid stelt een aanvaller in staat een specifiek MQTT-bericht te sturen om een nep-firmwarebestand te installeren dat op een door de aanvaller gecontroleerde server staat. Dit kan resulteren in kwaadaardige aanpassingen, onbevoegde controle of het onbruikbaar maken van getroffen apparaten.

Aangetaste versies

Kwetsbaar:WINET-SV200.001.00.P025 en eerdere versies

Niet Beïnvloed:WINET-SV200.001.00.P026 en later

Kwetsbaarheidsclassificatie

CVE-2024-50696：8.1（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）

De scoring is gebaseerd op de CVSS 3.1 standaard. De scoringscriteria kunnen worden geraadpleegd op

（https://www.first.org/cvss/calculator/3.1）

Mitigatie en Remediatie

Aanbevolen actie:Klanten moeten upgraden naar firmware versieWINET-SV200.001.00.P026 of hoger.

Patch Uitgave:Nu beschikbaar.

Tijdelijke Oplossing:Beperk netwerktoegang om onbevoegde firmware-installaties te voorkomen totdat een upgrade is voltooid.

Exploitatiestatus

Geen bekende uitbuiting in het wild.

Erkenningen

Deze kwetsbaarheid werd intern door het bedrijf ontdekt en gerapporteerd.

Verklaring

Alle software-updates, patches en documentatie verstrekt door Sungrow Power Supply Co., Ltd. zijn het eigendom van Sungrow. Deze materialen mogen alleen worden gebruikt voor productonderhoud en beveiligingsverbeteringen. Elke onbevoegde wijziging, distributie, decompilatie of reverse engineering is strikt verboden.

Sungrow geeft geen uitdrukkelijke of stilzwijgende garanties met betrekking tot de verstrekte informatie, inclusief maar niet beperkt tot garanties van verhandelbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Sungrow is niet aansprakelijk voor enige directe, indirecte, incidentele of gevolgschade die voortvloeit uit het gebruik van dit document of bijbehorende software.

Sungrow behoudt zich het recht voor om dit document op elk moment bij te werken of te wijzigen zonder voorafgaande kennisgeving. Klanten zijn verantwoordelijk voor het tijdig implementeren van beveiligingsupdates om hun systemen te beschermen.