Consignes de sécurité actuelles

Q: July 7th, 2023 | Incidente de ciberseguridad “MOVEit”

Información relativa al incidente de ciberseguridad “MOVEit” En junio de 2023 se detectó en SMA un incidente de ciberseguridad en relación con el software MOVEit. En consecuencia, se desconectó de inmediato el sistema afectado, se inspeccionó siguiendo los procesos de ciberseguridad ya establecidos y se aplicaron las correspondientes medidas de emergencia. La valoración de daños llevada a cabo reveló que, al tratarse de un sistema aislado ajeno a nuestros sistemas centrales, no se habían visto afectados ni datos personales ni datos críticos para la empresa. No se realizó un cifrado de los datos. El incidente no supone ningún riesgo para los partners y empleados de SMA. En caso de dudas en torno a este u otros temas en materia de ciberseguridad, envíe un correo electrónico a: Information-Security@sma.de .

January 27th, 2025 | Clickjacking vulnerability in Sunny Webbox

A security researcher discovered that in the affected products Sunny Webbox / Sunny Webbox with Bluetooth a clickjacking vulnerability in the web frontend exists. An attacker could make the user to perform clicks on a malicious website which seems to be the WebUI of the affected product. The affected products are out of support (End-of-Life 2015-12-31).

A user can be made to perform unwanted actions on other systems while he expects to perform a click on the Webbox WebUI.

Replace out-of-support Sunny Webbox / Sunny Webbox by Bluetooth to SMA Data Manager M or SMA Data Manager L. Please note technical information on the switchover to be found at www.sma-sunny.com/en/how-to-replace-old-data-logger/

If you can not replace your Webbox by a SMA Data Manager M or L then isolate the affected network segment by blocking all incoming network traffic. Especially never configure your network to allow a port forwarding to SMA Webbox.

Further details, including advisory, can be found at https://certvde.com/en/advisories/VDE-2024-075

January 27th, 2025 | Cross Site Request Forgery vulnerability im SMA Cluster Controller

A security researcher discovered a Cross Site Request Forgery (CSRF, XSRF) vulnerability in SMA Cluster Controller. The affected products are out of support (End-of-Life 2018-06-30).

The vulnerability could allow an attacker to send a malicious link to an authenticated user to perform actions with the user's permissions on the affected device.

Replace out-of-support Cluster Controller by SMA Data Manager M or SMA Data Manager L. Please note technical information on the switchover to be found at https://www.sma-sunny.com/en/how-to-replace-old-data-logger/

If you can not replace your Cluster Controller by a SMA Data Manager M or L then isolate the affected network segment by blocking all incoming network traffic. Especially never configure your network to allow a port forwarding to SMA Cluster Controller. Avoid accessing Internet resources while logged in to the Cluster Controller.

Further details, including advisory, can be found at https://certvde.com/en/advisories/VDE-2024-020

November 27th, 2024 | SQL-Injection vulnerability in SMA Sunny Central

In SMA Sunny Central inverters with firmware version numbers < 10.01.18.R, there is an authenticated (administration rights) SQL injection vulnerability on the administration panel that allows access to a database. The database that can be accessed is a log database that stores measurement data for graphical representation.
Further details, including the advisory, can be found at https://certvde.com/en/advisories/VDE-2024-074.

July 7th, 2023 | Incidente de ciberseguridad “MOVEit”

Información relativa al incidente de ciberseguridad “MOVEit”

En junio de 2023 se detectó en SMA un incidente de ciberseguridad en relación con el software MOVEit. En consecuencia, se desconectó de inmediato el sistema afectado, se inspeccionó siguiendo los procesos de ciberseguridad ya establecidos y se aplicaron las correspondientes medidas de emergencia. La valoración de daños llevada a cabo reveló que, al tratarse de un sistema aislado ajeno a nuestros sistemas centrales, no se habían visto afectados ni datos personales ni datos críticos para la empresa. No se realizó un cifrado de los datos.

El incidente no supone ningún riesgo para los partners y empleados de SMA.

En caso de dudas en torno a este u otros temas en materia de ciberseguridad, envíe un correo electrónico a: Information-Security@sma.de.

20.12.2021 | Vulnerabilidad Log4Shell

Como se ha informado a través de medios de comunicación de todo el mundo, actualmente existe un problema de seguridad cibernética (CVE-2021-44228, https://nvd.nist.gov/vuln/detail/CVE-2021-44228) que permite a los atacantes ejecutar códigos de programas maliciosos en los sistemas de destino poniéndolos en peligro.

Los inversores de SMA y los portales de monitorización de SMA no se están viendo afectados, pero el problema sí que podría llegar a afectar a otros productos de SMA individuales. Para estos casos, SMA ha dispuesto a corto plazo una serie de actualizaciones de software automáticas destinadas a mitigar esta vulnerabilidad. Con el fin de dificultar que los atacantes pongan en peligro los sistemas vulnerables, SMA dará a conocer cuáles son los respectivos productos y versiones una vez ejecutadas las actualizaciones automáticas.

El Servicio Técnico de SMA se pondrá directamente en contacto con aquellos operadores de sistemas Large Scale de SMA cuyos sistemas no cuenten con actualizaciones automáticas para llevar a cabo la instalación de las actualizaciones previa concertación.

Puede encontrar más información al respecto en la declaración del fabricante SMA →. Esta se mantiene permanentemente actualizada.

En caso de preguntas, diríjase a SMA Information-Security@sma.de.

Estamos esforzándonos al máximo para solventar este problema y le pedimos que disculpe cualquier posible molestia que esto pudiera causarle.