CVE-2025-36754: Growatt ShineLan-X 中的 CWE-290 身份验证绕过漏洞

严重性：严重 类型：漏洞

CVE-2025-36754

Web界面上的身份验证机制实施不当。由于没有会话令牌或身份验证，可以通过构造包含新设置的POST请求来绕过身份验证检查。这将允许攻击者将设备的域名解析指向任意地址，例如，以促进中间人（MitM）攻击。

AI 分析

技术摘要

CVE-2025-36754 是一个身份验证绕过漏洞，归类于 CWE-290，影响 Growatt ShineLan-X 太阳能逆变器 Web 界面，特别是版本 3.6.0.0。根本原因在于设备 Web 界面上缺乏适当的身份验证机制，例如会话令牌或凭证检查。这使得具有低权限和本地网络访问权限的攻击者能够构造 POST 请求，在未经身份验证的情况下修改设备设置。一项可以更改的关键设置是域名解析地址，可以将其指向攻击者控制的服务器。这种操作可以通过将合法的设备流量重定向到恶意端点来促进中间人（MitM）攻击，可能危及通信的机密性和完整性。该漏洞的 CVSS 4.0 评分为 9.3 分，反映了其严重性，原因是对机密性、完整性和可用性的高影响、无需用户交互即可轻松利用，以及能够影响多种安全属性。虽然目前尚未在野外发现漏洞利用，但该漏洞的性质以及太阳能逆变器在能源基础设施中的关键作用使其成为一个重大威胁。缺乏身份验证也意味着即使本地网络上低权限的攻击者也可以利用此漏洞，从而增加了攻击面。该漏洞于 2025 年 12 月公开披露，目前没有可用的补丁，强调了立即采取补偿控制的必要性。

潜在影响

对于欧洲的组织而言，此漏洞的影响是巨大的，特别是对于那些在其太阳能基础设施中依赖 Growatt ShineLan-X 设备的组织。成功利用可能导致未经授权的配置更改，使攻击者能够将设备通信重定向到恶意服务器。这可能导致敏感操作数据被拦截或操纵、能源生产监控中断以及能源管理系统可能遭到破坏。太阳能逆变器运行的完整性和可用性可能受到损害，影响能源供应的可靠性。此外，该漏洞可能被用作在关键基础设施环境中进行更广泛的网络入侵或横向移动的立足点。鉴于欧洲对可再生能源的依赖日益增加，此类中断可能对电网和遵守监管标准产生连锁反应。该漏洞无需用户交互即可轻松利用且权限要求低，这进一步加剧了风险，尤其是在网络分段或设备访问控制不足的环境中。

缓解建议

立即的缓解步骤包括：通过实施严格的防火墙规则和网络分段来限制对 ShineLan-X Web 界面的网络访问，仅将设备暴露给受信任的管理网络。组织应监控网络流量中是否有异常的 DNS 查询或配置更改，这些可能是漏洞利用尝试的迹象。部署入侵检测系统（IDS）或专门用于检测对设备 Web 界面的未经授权的 POST 请求的异常检测可以提供早期预警。在官方补丁发布之前，如果可行，请考虑禁用远程管理功能。采用网络级 DNS 过滤或 DNS 安全扩展（DNSSEC）以防止重定向到恶意 DNS 服务器。定期审核设备配置和日志，以及时检测未经授权的更改。与供应商联系了解补丁时间表，并在发布后立即应用更新。此外，将此漏洞纳入事件响应计划，并就识别与此问题相关的入侵迹象对员工进行培训。

受影响国家

德国、法国、意大利、西班牙、荷兰、比利时、英国、波兰

技术细节

数据版本： 5.2 分配者简称： DIVD 保留日期： 2025-04-15T21:54:36.815Z Cvss 版本： 4.0 状态： 已发布 威胁 ID： 693d2747f35c2264d84722fc 添加到数据库： 2025年12月13日 上午8:43:51 最后丰富： 2025年12月13日 上午8:48:59 最后更新： 2025年12月13日 上午10:09:16 查看次数： 2

来源： CVE 数据库 V5 发布日期： 2025年12月13日 星期六