【Säkerhetsrådgivning】Sungrow iSolarCloud Android-app – Sårbarhet för svag krypteringsnyckel (CVE-2024-50684)
Produkt: iSolarCloud Android-app
CVE-ID: CVE-2024-50684
Allvarlighetsgrad:Medium
Datum:2024-12-30
Solcellsinverter
Energilagringssystem
Elbilsladdare
Flytande PV-system
Smarta Energiprodukter
Beskrivning
iSolarCloud Android-appen använder en osäker AES-krypteringsnyckel med otillräcklig entropi, vilket gör den sårbar för kryptografiska attacker. En angripare med åtkomst till krypterad kommunikation kan möjligen dekryptera avlyssnad data, vilket potentiellt avslöjar känslig användarinformation.
Berörda versioner
Sårbar:Alla versioner V2.1.6.20241017 och tidigare
Inte påverkad:V2.1.6.20241104 och senare
Sårbarhetsbedömning
CVE-2024-50684: 6.5 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N)
Poängsättningen baseras på CVSS 3.1-standard. Poängkriterierna kan hänvisas till.
Minskning och åtgärd
Rekommenderad åtgärd: Kunderna bör uppdatera den iSolarCloud Android-app till den senaste versionen via den officiella appbutiken.
Korrigering Release:Tillgängligt nu.
Tillfällig lösning:Användare bör undvika att ansluta till otillförlitliga nätverk och aktivera VPN-krypteringnär man använder appen.
Exploateringsstatus
Ingen känd exploatering i det vilda.
Tack
Denna sårbarhet upptäcktes och rapporterades av Forescout Technologies.
Uttalande
Alla programuppdateringar, patches och dokumentation tillhandahållna av Sungrow Power Supply Co., Ltd. är Sungrows egna verk. Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Eventuell obehörig modifiering, distribution, dekompilering eller reverse engineering är strikt förbjuden.
Sungrow gör inga uttryckliga eller underförstådda garantier angående den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, oavsiktliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande mjukvara.
Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunderna ansvarar för att genomföra säkerhetsuppdateringar i tid för att skydda sina system.