Çinli üretici Deye’nin mikro invertörleri, WLAN değerlendirme ünitesinde bir güvenlik deliği ile teslim edildi. Hata, yerleşik erişim noktasını devre dışı bırakmayı veya varsayılan anahtar olan 12345678’i değiştirmeyi imkansız hale getiriyor. Etkilenen cihazlar, diğerlerinin yanı sıra Almanya’da Deye, Bosswerk ve Revolt isimleri altında satıldı ve ayrıca indirim yapan Netto tarafından satıldı.
Arıza, üretim verilerini depolayan ve görüntüleyen Solarman sağlayıcısının sunucularına İnternet üzerinden bağlanan yerleşik WLAN kaydedicinin ürün yazılımındadır. MW3_15U_5406_1.47 ve MW3_15U_5406_1.471 ürün yazılımı sürümlerinde, web arayüzündeki erişim verilerini değiştirmek mümkündür, ancak değişiklikleri kalıcı olarak kaydetmek mümkün değildir. Sorun, ürün yazılımı MW3_16U_5406_1.53 ile çözüldü.
CVE ve Deye reaksiyonu
3 Şubat’ta bildirildiği üzere, kullanıcılar şu ana kadar bu üretici yazılımını yalnızca üretici desteğine İngilizce bir e-posta göndererek ve 12 saat ile 14 gün arasında bekleyerek alabildiler. Bu rapordan bu yana birçok şey değişmeye başladı: 7 Şubat’ta Deye Support’tan test sistemimize yeni aygıt yazılımının yüklendiğine dair onay aldık – hatanın giderildiğini doğrulayabildik (güncellemeyi planlamıştık) 16 Şubat’ta). Ocak ayında e-posta ile talep edildi). CVE VulDB veritabanının operatörleri de bunu bildirdi. 13 Şubat itibariyle, Deye güvenlik sorunu CVE-2023-0808 CVE numarasına sahiptir.
Üretici Deye, 8 Şubat’ta bir basın açıklamasıyla yanıt verdi: Gelecekte, sabit bellenim sürümü (1.53) artık yalnızca e-posta ile istek üzerine mevcut olmayacak. 30 dakika boyunca internete bağlı olan tüm invertörler güncellemeyi otomatik olarak almalıdır. Henüz Deye invertörünü internete bağlamamış olan herkes, güncellemek için onu geçici olarak bir misafir ağına alabilir.
Hiçbir şey yapmamak çözüm değil
Eviriciyi kalıcı olarak internete veya kendi ev WLAN’ına bağlamayı düşünmeyenlerin de harekete geçmesi gerekir. Çünkü eski üretici yazılımı ile WLAN erişim noktasını kalıcı olarak devre dışı bırakmak mümkün değildir. Lokal web arabirimi veya konfigüre edilmişse tarayıcınızdaki Solarman platformu aracılığıyla inverterinizdeki kaydedicinin ürün yazılımı sürümünü bulabilirsiniz.
(yum)
Haberin Sonu
Arıza, üretim verilerini depolayan ve görüntüleyen Solarman sağlayıcısının sunucularına İnternet üzerinden bağlanan yerleşik WLAN kaydedicinin ürün yazılımındadır. MW3_15U_5406_1.47 ve MW3_15U_5406_1.471 ürün yazılımı sürümlerinde, web arayüzündeki erişim verilerini değiştirmek mümkündür, ancak değişiklikleri kalıcı olarak kaydetmek mümkün değildir. Sorun, ürün yazılımı MW3_16U_5406_1.53 ile çözüldü.
CVE ve Deye reaksiyonu
3 Şubat’ta bildirildiği üzere, kullanıcılar şu ana kadar bu üretici yazılımını yalnızca üretici desteğine İngilizce bir e-posta göndererek ve 12 saat ile 14 gün arasında bekleyerek alabildiler. Bu rapordan bu yana birçok şey değişmeye başladı: 7 Şubat’ta Deye Support’tan test sistemimize yeni aygıt yazılımının yüklendiğine dair onay aldık – hatanın giderildiğini doğrulayabildik (güncellemeyi planlamıştık) 16 Şubat’ta). Ocak ayında e-posta ile talep edildi). CVE VulDB veritabanının operatörleri de bunu bildirdi. 13 Şubat itibariyle, Deye güvenlik sorunu CVE-2023-0808 CVE numarasına sahiptir.
Üretici Deye, 8 Şubat’ta bir basın açıklamasıyla yanıt verdi: Gelecekte, sabit bellenim sürümü (1.53) artık yalnızca e-posta ile istek üzerine mevcut olmayacak. 30 dakika boyunca internete bağlı olan tüm invertörler güncellemeyi otomatik olarak almalıdır. Henüz Deye invertörünü internete bağlamamış olan herkes, güncellemek için onu geçici olarak bir misafir ağına alabilir.
Hiçbir şey yapmamak çözüm değil
Eviriciyi kalıcı olarak internete veya kendi ev WLAN’ına bağlamayı düşünmeyenlerin de harekete geçmesi gerekir. Çünkü eski üretici yazılımı ile WLAN erişim noktasını kalıcı olarak devre dışı bırakmak mümkün değildir. Lokal web arabirimi veya konfigüre edilmişse tarayıcınızdaki Solarman platformu aracılığıyla inverterinizdeki kaydedicinin ürün yazılımı sürümünü bulabilirsiniz.
(yum)
Haberin Sonu