Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Tytuł: 【Poradnik Bezpieczeństwa】Aplikacja Android Sungrow iSolarCloud – Luka w Zabezpieczeniach Danych MQTT (CVE-2024-50688)

Data publikacji: 30.12.2024

Produkt: Aplikacja iSolarCloud Android & Usługi w Chmurze
Identyfikator CVE: CVE-2024-50688
Surowość:Średni

Data:30.12.2024

Opis

Aplikacja iSolarCloud na Androida i usługi w chmurze wykorzystują zakodowane na stałe poświadczenia MQTT do wymiany telemetrii urządzeń. Ta luka może pozwolić atakującemu przechwycić i manipulować komunikacją między urządzeniami Sungrow a platformą iSolarCloud, potencjalnie prowadząc do nieautoryzowanego dostępu do danych lub kontroli nad telemetrią urządzeń.

Dotknięte wersje

Narażony:Wszystkie wersje V2.1.6.20241017 i wcześniejsze

Nie dotknięty:V2.1.6.20241104 i później

Ocena Podatności

CVE-2024-50688: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Ocena opiera się na standardzie CVSS 3.1. Kryteria oceny można odnaleźć w

(https://www.first.org/cvss/calculator/3.1）

Łagodzenie i Remediacja

Zalecana akcja:Klienci powinni zaktualizować Aplikacja Android iSolarCloud do najnowszej wersji za pośrednictwem oficjalnego sklepu z aplikacjami.

Wydanie łatki:Dostępne teraz.

Tymczasowe Naprawienie:Ogranicz dostęp zewnętrznej sieci do brokerów MQTT, aż do zastosowania aktualizacji.

Status eksploatacji

Brak znanych przypadków wykorzystania w naturze.

Podziękowania

Ta luka została odkryta i zgłoszona przez Forescout Technologies.

Oświadczenie

Wszystkie aktualizacje oprogramowania, poprawki i dokumentacja dostarczone przez Sungrow Power Supply Co., Ltd. są własnością Sungrow. Materiały te mogą być używane wyłącznie do konserwacji produktu i poprawy bezpieczeństwa. Wszelkie nieautoryzowane modyfikacje, dystrybucja, dekompilacja lub inżynieria wsteczna są surowo zabronione.

Sungrow nie składa żadnych wyraźnych lub dorozumianych gwarancji dotyczących udostępnianych informacji, w tym, ale nie tylko, gwarancji dotyczących jakości handlowej, przydatności do określonego celu lub nie naruszania praw. Sungrow nie ponosi odpowiedzialności za jakiekolwiek bezpośrednie, pośrednie, przypadkowe lub następujące szkody wynikające z korzystania z tego dokumentu lub powiązanego oprogramowania.

Sungrow zastrzega sobie prawo do aktualizacji lub modyfikacji niniejszego dokumentu w dowolnym momencie bez uprzedniego powiadomienia. Klienci są odpowiedzialni za terminowe wdrażanie aktualizacji bezpieczeństwa w celu ochrony swoich systemów.

Polityka Prywatności Zastrzeżenie Polityka plików cookies Ogólne Warunki