【Poradnik bezpieczeństwa】Sungrow WiNet-S – Niedostateczna kontrola integralności oprogramowania sprzętowego (CVE-2024-50696)
Data publikacji: 30.12.2024
Produkt: Sungrow WiNet-S
Identyfikator CVE:CVE-2024-50696Surowość:Wysoki
Data:30.12.2024
Falowniki
Systemy Magazynowania Energii
Stacje ładowania pojazdów elektrycznych
Pływający System Fotowoltaiczny
Inteligentne Produkty Energetyczne
Opis
Oprogramowanie Sungrow WiNet-S nie posiada odpowiednich kontroli integralności podczas procesu aktualizacji. Ta luka umożliwia atakującemu wysłanie określonej wiadomości MQTT w celu zainstalowania fałszywego pliku oprogramowania hostowanego na serwerze kontrolowanym przez atakującego. Może to skutkować złośliwymi modyfikacjami, nieautoryzowaną kontrolą lub zablokowaniem dotkniętych urządzeń.
Dotknięte wersje
Narażony:WINET-SV200.001.00.P025 i wcześniejsze wersje
Nie dotknięty:WINET-SV200.001.00.P026 i późniejsze
Ocena Podatności
CVE-2024-50696: 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Ocena opiera się na standardzie CVSS 3.1. Kryteria oceny można odnaleźć w
Łagodzenie i Remediacja
Zalecana akcja:Klienci powinni zaktualizować do wersji oprogramowania sprzętowego WINET-SV200.001.00.P026 lub wyżej.
Wydanie łatki:Dostępne teraz.
Tymczasowe Naprawienie:Ogranicz dostęp do sieci, aby zapobiec nieautoryzowanym instalacjom oprogramowania układowego, aż do zakończenia aktualizacji.
Status eksploatacji
Brak znanych przypadków wykorzystania w naturze.
Podziękowania
Ta luka została odkryta i zgłoszona wewnętrznie przez firmę.
Oświadczenie
Wszystkie aktualizacje oprogramowania, poprawki i dokumentacja dostarczone przez Sungrow Power Supply Co., Ltd. są własnością Sungrow. Materiały te mogą być używane wyłącznie do konserwacji produktu i poprawy bezpieczeństwa. Wszelkie nieautoryzowane modyfikacje, dystrybucja, dekompilacja lub inżynieria wsteczna są surowo zabronione.
Sungrow nie składa żadnych wyraźnych lub dorozumianych gwarancji dotyczących udostępnianych informacji, w tym, ale nie tylko, gwarancji dotyczących jakości handlowej, przydatności do określonego celu lub nie naruszania praw. Sungrow nie ponosi odpowiedzialności za jakiekolwiek bezpośrednie, pośrednie, przypadkowe lub następujące szkody wynikające z korzystania z tego dokumentu lub powiązanego oprogramowania.
Sungrow zastrzega sobie prawo do aktualizacji lub modyfikacji niniejszego dokumentu w dowolnym momencie bez uprzedniego powiadomienia. Klienci są odpowiedzialni za terminowe wdrażanie aktualizacji bezpieczeństwa w celu ochrony swoich systemów.