关键漏洞信息 1. 漏洞概述 CVE编号: CVE-2021-32657, CVE-2021-32658, CVE-2021-32659, CVE-2021-32660 影响产品: EG4 Electronics的EG4系列逆变器,包括EG4-2K、EG4-3K、EG4-4K等型号。 风险评估: 成功利用这些漏洞可能导致未经授权访问内部和外部网络、控制设备、获取敏感数据、篡改配置文件和固件更新。 2. 技术细节 2.1 受影响产品 列出了所有受影响的EG4系列逆变器型号。 2.2 漏洞概述 2.2.1 明文传输敏感信息 (CWE-319) 敏感信息在明文中传输,可能被截获并用于未经授权的访问、修改、删除或重放操作。 CVSS评分: 6.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) 2.2.2 无完整性检查下载代码 (CWE-494) 通过HTTP下载固件更新时,缺乏完整性检查,可能导致恶意软件注入。 CVSS评分: 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) 2.2.3 可观察到的差异 (CWE-203) 设备响应因状态不同而异,可能泄露其实际状态。 CVSS评分: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) 2.2.4 过度认证尝试限制不当 (CWE-307) 认证机制对失败尝试次数限制不足,允许无限次尝试,增加暴力破解风险。 CVSS评分: 5.9 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) 3. 背景 关键基础设施部门: 能源 部署国家/地区: 世界范围 公司/收购者位置: 美国 4. 缓解措施 更新固件至最新版本。 使用强密码策略。 配置防火墙规则以限制不必要的网络访问。 定期监控系统日志以检测异常活动。