CVE-2025-36747:Growatt ShineLan-X中CWE-798硬编码凭证的使用
严重性:严重 类型:漏洞
CVE-2025-36747
在ShineLan-X的固件中发现了一组用于FTP服务器的凭证,使得测试人员能够与服务器建立不安全的FTP连接。由于固件签名验证未强制执行,这可能允许攻击者用其自身的恶意版本替换部署到设备的合法文件。
AI分析
技术摘要
CVE-2025-36747 标识了 Growatt ShineLan-X 产品(具体为固件版本 3.6.0.0)中存在的一个严重安全漏洞。根本原因在于设备固件中嵌入了用于 FTP 服务器的硬编码凭证,归类为 CWE-798(使用硬编码凭证)。此设计缺陷允许攻击者无需身份验证、用户交互或提升的权限即可连接到 FTP 服务器。连接后,攻击者可以在设备上上传或替换文件。更增加风险的是,固件缺乏强制的签名验证,这意味着恶意文件可以在不被检测的情况下部署和执行。这破坏了设备的完整性和可用性,可能导致设备被持续入侵、设备行为被操控或服务中断。该漏洞的 CVSS 4.0 评分为 9.4,表明其对机密性、完整性和可用性具有高影响的严重严重性。攻击媒介是相邻网络访问(AV:A),不需要特权或用户交互,使得在网络可访问该设备的环境中利用此漏洞成为可能。目前尚未报告公开的漏洞利用,但该漏洞的性质和严重性表明,如果不加以缓解,将存在高风险。受影响的产品 Growatt ShineLan-X 通常用于太阳能能源管理,这使得该漏洞与能源基础设施安全尤为相关。
潜在影响
对于欧洲组织,特别是那些使用 Growatt ShineLan-X 设备从事可再生能源行业的组织,此漏洞构成了重大风险。漏洞利用可能导致设备固件或配置文件被未经授权的修改,从而导致运营中断、能源报告不准确或设备完全故障。这可能影响电网稳定性、能源生产监控以及合同能源交付承诺。如果攻击者通过 FTP 服务器访问敏感运营数据,机密性可能会受到损害。由于能够用恶意文件替换合法文件,完整性受到严重影响,可能为持久性后门或蓄意破坏创造条件。如果设备变得无法运行或被操纵以中断能源流,可用性将面临风险。鉴于欧洲能源基础设施的关键性以及日益严格的监管审查,此类安全事件可能导致监管处罚、财务损失和声誉损害。固件签名强制执行的缺失加剧了威胁,因为它移除了一项关键的安全控制措施,否则该措施可以防止未经授权的固件修改。
缓解建议
立即缓解措施包括:
- 应用 Growatt 提供的任何可用固件更新或补丁,以移除硬编码凭证并实施适当的身份验证和签名验证。
- 如果补丁不可用,则禁用或限制 ShineLan-X 设备上的 FTP 服务,以防止未经授权的访问。
- 实施网络分段和防火墙规则,将设备管理接口和 FTP 端口的访问权限限制为仅限受信任的管理员和系统。
- 监控网络流量中是否存在异常的 FTP 连接或文件传输,这些迹象可能表明漏洞利用尝试。
- 定期对设备固件和配置文件进行完整性检查,以检测未经授权的更改。
- 与 Growatt 支持部门联系,获取安全固件发布的指导和时间表。
- 将此漏洞纳入事件响应和风险管理计划,优先处理受影响资产的修复。
- 教育运营技术(OT)和 IT 团队有关硬编码凭证和不安全更新机制带来的风险,以防止其他设备出现类似问题。
受影响国家
德国、西班牙、意大利、荷兰、法国、比利时
技术详情
数据版本: 5.2 分配者简称: DIVD 预留日期: 2025-04-15T21:54:36.813Z CVSS 版本: 4.0 状态: 已发布 威胁 ID: 693d2747f35c2264d84722ea 添加到数据库: 2025年12月13日,上午8:43:51 最后丰富: 2025年12月13日,上午8:50:14 最后更新: 2025年12月13日,下午11:57:42 查看次数: 20
来源: CVE 数据库 V5 发布日期: 2025年12月13日,星期六