Schwachstellen In Fronius Solar Inverter (CVE-2019-19229, CVE-2019-19228)

Title

Multiple Vulnerabilites

Product

Fronius Solar Inverter Series

Vulnerable Version

SW Version <3.14.1 (HM 1.12.1)

Fixed Version

>=3.14.1 (vuln 2: 3.12.5 - HM 1.10.5), see solution section below

CVE Number

CVE-2019-19228, CVE-2019-19229

Impact

high

Found

30.10.2018

By

T. Weber (Office Vienna) | SEC Consult Vulnerability Lab

Die Wechselrichterserie von Fronius ist anfällig auf verschiedene anwendungsbasierte Schwachstellen. Neben der unverschlüsselten HTTP Kommunikation wurden andere Probleme wie Path-Traversal und veraltete Software in der Firmware der Geräte identifiziert. Ein Backdoor-Benutzer, welcher ein vorhersagbares Passwort mit einem bestimmte Algorithmus jeden Tag ändert, war außerdem auf den Geräten vorhanden.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Thomas Weber / @2019

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.