Name: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow WiNet-S – Improper Firmware Integrity Check Vulnerability (CVE-2024-50696)

【Säkerhetsråd】Sungrow WiNet-S – Felaktig Firmware Integritetskontroll Sårbarhet (CVE-2024-50696)

Publiceringsdatum: 20241230

Produkt:Sungrow WiNet-S
CVE-ID:CVE-2024-50696Allvarlighetsgrad: Hög

Datum:2024-12-30

Beskrivning

Sungrow WiNet-S-firmware saknar korrekta integritetskontroller under uppdateringsprocessen. Denna sårbarhet gör det möjligt för en angripare att skicka ett specifikt MQTT-meddelande för att installera en falsk firmware-fil som finns på en angriparkontrollerad server. Detta kan leda till skadliga ändringar, obehörig kontroll eller att påverkade enheter blir obrukbara.

Berörda versioner

Sårbar: WINET-SV200.001.00.P025 och tidigare versioner

Inte påverkad:WINET-SV200.001.00.P026 och senare

Sårbarhetsbedömning

CVE-2024-50696：8.1（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）

Poängsättningen baseras på CVSS 3.1-standard. Poängkriterierna kan hänvisas till.

（https://www.first.org/cvss/calculator/3.1）

Minskning och åtgärd

Rekommenderad åtgärd:Kunder bör uppgradera till fastvaruversion WINET-SV200.001.00.P026 eller högre.

Korrigering Release:Tillgängligt nu.

Tillfällig lösning:Begränsa nätverksåtkomst för att förhindra obehöriga firmwareinstallationer tills en uppgradering är slutförd.

Exploateringsstatus

Ingen känd exploatering i det vilda.

Tack

Denna sårbarhet upptäcktes och rapporterades av företaget internt.

Uttalande

Alla programuppdateringar, patches och dokumentation tillhandahållna av Sungrow Power Supply Co., Ltd. är Sungrows egna verk. Dessa material får endast användas för produktunderhåll och säkerhetsförbättringar. Eventuell obehörig modifiering, distribution, dekompilering eller reverse engineering är strikt förbjuden.

Sungrow gör inga uttryckliga eller underförstådda garantier angående den tillhandahållna informationen, inklusive men inte begränsat till garantier för säljbarhet, lämplighet för ett visst ändamål eller icke-kränkning. Sungrow ska inte vara ansvarig för några direkta, indirekta, oavsiktliga eller följdskador som uppstår från användningen av detta dokument eller tillhörande mjukvara.

Sungrow förbehåller sig rätten att uppdatera eller ändra detta dokument när som helst utan föregående meddelande. Kunderna ansvarar för att genomföra säkerhetsuppdateringar i tid för att skydda sina system.