Consignes de sécurité actuelles

Q: July 13th, 2023 | Incident de cybersécurité « MOVEit »

Informations sur l’incident de cybersécurité « MOVEit » En juin 2023, un incident de cybersécurité lié au logiciel MOVEit a été constaté chez SMA. Le système incriminé a été immédiatement désactivé, analysé à l’aide des procédures de cybersécurité en place et des mesures immédiates ont été prises. Une analyse du préjudice a révélé qu’aucune donnée à caractère personnel ni aucune donnée sensible pour l’entreprise n’a été affectée, car il s’agit d’un système séparé de nos systèmes de base. Il n’y a pas eu de chiffrement des données. L’incident n’entraîne aucun risque pour les partenaires commerciaux et les collaborateurs de SMA. Si vous avez des questions à ce sujet ou sur d’autres thèmes liés à la cybersécurité, veuillez envoyer un e-mail à : Information-Security@sma.de .

January 27th, 2025 | Clickjacking vulnerability in Sunny Webbox

A security researcher discovered that in the affected products Sunny Webbox / Sunny Webbox with Bluetooth a clickjacking vulnerability in the web frontend exists. An attacker could make the user to perform clicks on a malicious website which seems to be the WebUI of the affected product. The affected products are out of support (End-of-Life 2015-12-31).

A user can be made to perform unwanted actions on other systems while he expects to perform a click on the Webbox WebUI.

Replace out-of-support Sunny Webbox / Sunny Webbox by Bluetooth to SMA Data Manager M or SMA Data Manager L. Please note technical information on the switchover to be found at www.sma-sunny.com/en/how-to-replace-old-data-logger/

If you can not replace your Webbox by a SMA Data Manager M or L then isolate the affected network segment by blocking all incoming network traffic. Especially never configure your network to allow a port forwarding to SMA Webbox.

Further details, including advisory, can be found at https://certvde.com/en/advisories/VDE-2024-075

January 27th, 2025 | Cross Site Request Forgery vulnerability im SMA Cluster Controller

A security researcher discovered a Cross Site Request Forgery (CSRF, XSRF) vulnerability in SMA Cluster Controller. The affected products are out of support (End-of-Life 2018-06-30).

The vulnerability could allow an attacker to send a malicious link to an authenticated user to perform actions with the user's permissions on the affected device.

Replace out-of-support Cluster Controller by SMA Data Manager M or SMA Data Manager L. Please note technical information on the switchover to be found at https://www.sma-sunny.com/en/how-to-replace-old-data-logger/

If you can not replace your Cluster Controller by a SMA Data Manager M or L then isolate the affected network segment by blocking all incoming network traffic. Especially never configure your network to allow a port forwarding to SMA Cluster Controller. Avoid accessing Internet resources while logged in to the Cluster Controller.

Further details, including advisory, can be found at https://certvde.com/en/advisories/VDE-2024-020

November 27, 2024 | SQL injection vulnerability in SMA Sunny Central

In SMA Sunny Central inverters with firmware version numbers < 10.01.18.R, there is an authenticated (administration rights) SQL injection vulnerability on the administration panel that allows access to a database. The database that can be accessed is a log database that stores measurement data for graphical representation.
Further details, including the advisory, can be found at https://certvde.com/en/advisories/VDE-2024-074.

July 13th, 2023 | Incident de cybersécurité « MOVEit »

Informations sur l’incident de cybersécurité « MOVEit »

En juin 2023, un incident de cybersécurité lié au logiciel MOVEit a été constaté chez SMA. Le système incriminé a été immédiatement désactivé, analysé à l’aide des procédures de cybersécurité en place et des mesures immédiates ont été prises. Une analyse du préjudice a révélé qu’aucune donnée à caractère personnel ni aucune donnée sensible pour l’entreprise n’a été affectée, car il s’agit d’un système séparé de nos systèmes de base. Il n’y a pas eu de chiffrement des données.

L’incident n’entraîne aucun risque pour les partenaires commerciaux et les collaborateurs de SMA.

Si vous avez des questions à ce sujet ou sur d’autres thèmes liés à la cybersécurité, veuillez envoyer un e-mail à : Information-Security@sma.de.

December 20th, 2021 | Point faible Log4Shell

Tel que communiqué dans les médias à travers le monde, il existe actuellement un incident de cybersécurité (CVE-2021-44228, https://nvd.nist.gov/vuln/detail/CVE-2021-44228). Celui-ci permet aux pirates d'exécuter des codes de programme malveillants sur les systèmes cibles et de les compromettre par ce moyen.

Les onduleurs SMA ainsi que les portails de surveillance SMA ne sont pas concernés par l'incident actuel, mais certains autres produits SMA peuvent l'être. Pour ces derniers, SMA met temporairement à disposition des mises à jour logicielles automatiques pour pallier le point faible. Afin de compliquer la tâche des pirates, SMA ne communiquera les produits et versions concernés qu'après le déploiement des mises à jour automatiques.

Les exploitants de systèmes SMA Large Scale dont les systèmes ne sont pas soumis à la mise à jour automatique seront contactés par le service SMA directement et l'installation des mises à jour sera effectuée après concertation.

Vous trouverez de plus amples informations à ce propos dans la déclaration du fabricant SMA →. Celle-ci est actualisée en permanence.

Pour toute autre question, veuillez contacter SMA Information-Security@sma.de.

Nous déployons tous nos efforts pour résoudre ce problème et vous prions de bien vouloir nous excuser des éventuels inconvénients occasionnés.