Name: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)
Brand: Sungrow
SKU: 【Security Advisory】Sungrow iSolarCloud Android APP – Hardcoded MQTT Credentials Vulnerability (CVE-2024-50688)

Başlık: 【Güvenlik Danışmanlığı】Sungrow iSolarCloud Android UYGULAMASI – Sabit Kodlanmış MQTT Kimlik Bilgileri Güvenlik Açığı (CVE-2024-50688)

Yayın Tarihi: 20241230

Ürün: iSolarCloud Android Uygulaması & Bulut Hizmetleri
CVE Kimliği: CVE-2024-50688
Şiddet:Orta

Tarih: 20241230

Açıklama

iSolarCloud Android uygulaması ve bulut hizmetleri, cihaz telemetrisini değiştirmek için sabit kodlanmış MQTT kimlik bilgilerini kullanır. Bu güvenlik açığı, bir saldırganın Sungrow cihazları ile iSolarCloud platformu arasındaki iletişimi kesmesine ve manipüle etmesine izin verebilir, bu da yetkisiz veri erişimine veya cihaz telemetrisi üzerinde kontrol sağlanmasına yol açabilir.

Etkilenen Sürümler

Zayıf:Tüm sürümler V2.1.6.20241017 ve öncesi

Etkilenmeyen: V2.1.6.20241104 ve sonrası

Güvenlik Açığı Derecelendirmesi

CVE-2024-50688：5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N）

Puanlama, CVSS 3.1 standardına dayanmaktadır. Puanlama kriterleri şurada referans alınabilir:

(https://www.first.org/cvss/calculator/3.1）

Azaltma ve İyileştirme

Önerilen Eylem: Müşteriler güncellemelidiriSolarCloud Android Uygulaması resmi uygulama mağazası üzerinden en son sürüme.

Yama Yayınlama: Şimdi mevcut.

Geçici Çözüm:Yükseltme uygulanana kadar MQTT broker'lara harici ağ erişimini kısıtlayın.

İstismar Durumu

Vahşi doğada bilinen bir sömürü yok.

Teşekkürler

Bu güvenlik açığı keşfedildi ve rapor edildi Forescout Teknolojileri.

Beyan

Sungrow Power Supply Co., Ltd. tarafından sağlanan tüm yazılım güncellemeleri, yamaları ve dokümantasyonu Sungrow'un özel çalışmasıdır. Bu materyaller yalnızca ürün bakımı ve güvenlik iyileştirmeleri için kullanılabilir. Herhangi bir izinsiz değişiklik, dağıtım, tersine mühendislik veya geri çözümleme kesinlikle yasaktır.

Sungrow, sağlanan bilgilerle ilgili hiçbir açık veya zımni garanti vermez; ticari kullanılabilirlik, belirli bir amaca uygunluk veya ihlal edilmeme garantileri dahil ancak bunlarla sınırlı olmamak üzere. Sungrow, bu belge veya ilişkili yazılımın kullanımından kaynaklanan doğrudan, dolaylı, tesadüfi veya sonuçsal zararlardan sorumlu tutulamaz.

Sungrow, bu belgeyi önceden bildirimde bulunmaksızın istediği zaman güncelleme veya değiştirme hakkını saklı tutar. Müşteriler, sistemlerini korumak için güvenlik güncellemelerini zamanında uygulamaktan sorumludur.

Gizlilik Politikası Feragatname Çerez Politikası Genel Şartlar ve Koşullar