Ver CSAF
1. Resumen ejecutivo
CVSS V4 9.3
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: Energía tigo
Equipo: Cloud Connect avanzado
Vulnerabilidades: Uso de credenciales codificadas, inyección de comandos, semillas predecibles en el generador de números pseudo-aleatorios (PRNG).
2. Evaluación de riesgos
La explotación exitosa de estas vulnerabilidades podría permitir a los atacantes obtener acceso administrativo no autorizado utilizando credenciales codificadas con codificación, los privilegios intensificados para tomar el control total del dispositivo, modificar la configuración del sistema, interrumpir la producción de energía solar, interferir con los mecanismos de seguridad, los comandos arbitrarios de la inyección de comandos, las disrupas de servicio, los datos sensibles y los datos sensibles a los datos de la sesión de acceso a la sesión de la sesión de la sesión de acceso a la sesión. a la generación de identificación de sesión insegura.
3. Detalles técnicos
3.1 Productos afectados
Las siguientes versiones de Cloud Connect Advanced se ven afectadas:
Cloud Connect Avanzado: versiones 4.0.1 y anteriores
3.2 Descripción general de vulnerabilidad
3.2.1 Uso de credenciales codificadas CWE-798
El dispositivo Cloud Connect Advanced (CCA) de Tigo Energy contiene credenciales codificadas que permiten a los usuarios no autorizados obtener acceso administrativo. Esta vulnerabilidad permite a los atacantes aumentar los privilegios y tomar el control total del dispositivo, modificar potencialmente la configuración del sistema, interrumpir la producción de energía solar e interferir con los mecanismos de seguridad.
CVE-2025-7768 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9.8; La cadena de vector CVSS es (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-7768. Se ha calculado una puntuación base de 9.3; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.2 Neutralización inadecuada de elementos especiales utilizados en un comando (‘inyección de comando’) CWE-77
El CCA de Tigo Energy es vulnerable a una vulnerabilidad de inyección de comando en el punto final /cgi-bin /mobile_api cuando se llama al comando Device_Ping, lo que permite la ejecución del código remoto debido al manejo incorrecto de la entrada del usuario. Cuando se usa con credenciales predeterminadas, esto permite a los atacantes ejecutar comandos arbitrarios en el dispositivo que podrían causar un acceso potencial no autorizado, interrupción del servicio y exposición de datos.
CVE-2025-7769 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8.8; La cadena de vector CVSS es (AV: N/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-7769. Se ha calculado una puntuación base de 8.7; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: L/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.3 Semilla predecible en el generador de números pseudo-aleatorio (PRNG) CWE-337
El dispositivo CCA de Tigo Energy es vulnerable a la generación de identificación de sesión insegura en su API remota. Las ID de sesión se generan utilizando un método predecible basado en la marca de tiempo actual, lo que permite a los atacantes recrear ID de sesión válidos. Cuando se combina con la capacidad de eludir los requisitos de ID de sesión para ciertos comandos, esto permite el acceso no autorizado a las funciones confidenciales del dispositivo en los sistemas de optimización solar conectados.
CVE-2025-7770 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8.8; La cadena de vector CVSS es (AV: N/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-7770. Se ha calculado una puntuación base de 8.7; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: L/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.3 Antecedentes
Sectores de infraestructura crítica: Energía
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Estados Unidos
3.4 investigador
Anthony Rose y Jacob Krasnov de BC Security y Peter Kariuki de Ovanova informaron estas vulnerabilidades a CISA.
4. Mitigaciones
Tigo Energy es consciente de estas vulnerabilidades y está trabajando activamente en una solución para abordarlas.
Visite Tigo Energy’s Centro de ayuda Para recomendaciones de seguridad más específicas.
CISA recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, como:
Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurando que sean No es accesible desde Internet.
Localice las redes de sistemas de control y los dispositivos remotos detrás de los firewalls y aislarlos de las redes comerciales.
Cuando se requiere acceso remoto, use métodos más seguros, como las redes privadas virtuales (VPN), reconocer las VPN puede tener vulnerabilidades y debe actualizarse a la versión más actualizada disponible. También reconocer que VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.
CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.
Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.
No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento.
5. Historial de actualización
5 de agosto de 2025: publicación inicial