CVE-2025-36754: CWE-290 Growatt ShineLan-X 中的认证绕过漏洞

严重性：严重 类型：漏洞 CVE：CVE-2025-36754

描述 Web界面上的认证机制未正确实施。由于没有会话令牌或认证机制，攻击者可以通过构造包含新设置的POST请求来绕过认证检查。例如，这允许攻击者将设备的域名解析地址指向任意地址，以促成中间人（MitM）攻击。

AI分析

技术摘要

CVE-2025-36754是一个被归类为CWE-290的认证绕过漏洞，影响Growatt ShineLan-X太阳能逆变器的Web界面，特别是版本3.6.0.0。根本原因是设备Web界面上缺乏适当的认证机制，例如会话令牌或凭证检查。这使得拥有低权限和本地网络访问权限的攻击者能够构造POST请求，在无需认证的情况下修改设备设置。一个可以被修改的关键设置是域名解析地址，它可以被指向攻击者控制的服务器。这种操作可以通过将合法的设备流量重定向到恶意端点来促成中间人（MitM）攻击，可能损害通信的机密性和完整性。该漏洞的CVSS 4.0评分为9.3，反映了其严重性，原因在于对机密性、完整性和可用性影响高，无需用户交互即可轻松利用，并且能够影响多个安全属性。虽然目前尚未发现野外利用，但该缺陷的性质以及太阳能逆变器在能源基础设施中的关键作用使其成为一个重大威胁。缺乏认证也意味着即使本地网络上的低权限攻击者也能利用此漏洞，从而扩大了攻击面。该漏洞于2025年12月公开披露，目前尚无补丁可用，这强调了立即采取补偿性控制措施的必要性。

潜在影响

对欧洲组织而言，此漏洞的影响是巨大的，特别是那些在其太阳能基础设施中依赖Growatt ShineLan-X设备的组织。成功利用可导致未经授权的配置更改，使攻击者能够将设备通信重定向到恶意服务器。这可能导致敏感操作数据被截获或操纵、能源生产监控中断以及能源管理系统可能遭到破坏。太阳能逆变器操作的完整性和可用性可能受到损害，影响能源供应的可靠性。此外，该漏洞可能被用作在关键基础设施环境中进行更广泛的网络入侵或横向移动的立足点。鉴于欧洲对可再生能源的日益依赖，此类中断可能对能源电网和监管标准的符合性产生连锁反应。该漏洞无需用户交互且权限要求低的易利用性进一步加剧了风险，尤其是在网络分段或设备访问控制不足的环境中。

缓解建议

立即的缓解步骤包括通过实施严格的防火墙规则和网络分段来限制对ShineLan-X Web界面的网络访问，仅将设备暴露给受信任的管理网络。组织应监控网络流量，查找异常DNS查询或表明利用尝试的配置更改。部署入侵检测系统（IDS）或专门用于检测对设备Web界面的未经授权POST请求的异常检测可以提供早期预警。在官方补丁发布之前，如果可行，请考虑禁用远程管理功能。采用网络级DNS过滤或DNS安全扩展（DNSSEC）以防止重定向到恶意DNS服务器。定期审计设备配置和日志以迅速检测未经授权的更改。与供应商沟通补丁时间表，并在发布后立即应用更新。此外，将此漏洞纳入事件响应计划，并就识别与此问题相关的危害迹象对员工进行培训。

受影响国家

德国、法国、意大利、西班牙、荷兰、比利时、英国、波兰

来源： CVE数据库 V5 发布日期： 2025年12月13日 星期六