安全漏洞可能讓攻擊者控制充電站

如果攻擊者利用Schneider Electric的EVlink Parking充電站中最近發現的缺陷，電動汽車司機可能會發現自己無法為車輛充電，這些充電站遍布多個國家的辦公室，酒店和超市。

位于Positive Technologies的安全專家Vladimir Kononovich和Vyacheslav Moskvin現在提供他們發現的三個漏洞的詳細信息，這些漏洞導致能源管理公司在12月20日發布安全通知。

施耐德電氣正在敦促其客戶在充電站上安裝新固件(如果當前版本為3.2.0-12_v1或更早版本)。它還表示，用戶可以“設置防火墻來阻止除授權用戶之外的遠程/外部訪問”，以降低攻擊風險。

在這三個漏洞中，一個是關鍵漏洞，一個是高風險漏洞，第三個漏洞是中等漏洞。

嚴重漏洞CVE-2018-7800與硬編碼憑據錯誤相關聯，該錯誤可使攻擊者以最大權限訪問充電站。

黑客可以訪問該站的Web界面并發送命令來控制充電過程。例如，它可以阻止汽車充電，但它也可以打開充電站的預約模式，使客戶無法訪問。

此外，研究人員表示，惡意演員可以通過操縱插座鎖定艙口來解鎖電纜，從而使小偷可以通過電纜走開。

第二個漏洞CVE-2018-7801被評為高風險。此代碼注入漏洞允許遠程攻擊者執行任意代碼并以最大權限獲取未經授權的訪問。

攻擊者還可以直接管理操作系統，執行諸如添加新用戶，更改文件和配置以及添加后門和其他通過標準方法無法檢測或修復的修改等操作。

第三個是CVE-2018-7802，它是一個SQL注入漏洞，可以使攻擊者繞過授權并以完全權限訪問工作站的Web界面。

“利用這些漏洞可能會導致嚴重的后果，”Positive Technologies的行業和SCADA研究分析師Paolo Emiliani說。“攻擊者實際上可以阻止電動汽車充電并對能源行業造成嚴重損害。”

安全研究人員向 Schneider Electric 發送了有關他們在2018年5月發現的漏洞的詳細信息。

總部位于莫斯科的Positive Technologies公司多年來一直在分析施耐德電氣產品的安全性。它幫助能源管理公司發現了工業過程自動化系統和APC不間斷電源的缺陷。