安全漏洞可能让攻击者控制充电站

如果攻击者利用Schneider Electric的EVlink Parking充电站中最近发现的缺陷，电动汽车司机可能会发现自己无法为车辆充电，这些充电站遍布多个国家的办公室，酒店和超市。

位于Positive Technologies的安全专家Vladimir Kononovich和Vyacheslav Moskvin现在提供他们发现的三个漏洞的详细信息，这些漏洞导致能源管理公司在12月20日发布安全通知。

施耐德电气正在敦促其客户在充电站上安装新固件(如果当前版本为3.2.0-12_v1或更早版本)。它还表示，用户可以“设置防火墙来阻止除授权用户之外的远程/外部访问”，以降低攻击风险。

在这三个漏洞中，一个是关键漏洞，一个是高风险漏洞，第三个漏洞是中等漏洞。

严重漏洞CVE-2018-7800与硬编码凭据错误相关联，该错误可使攻击者以最大权限访问充电站。

黑客可以访问该站的Web界面并发送命令来控制充电过程。例如，它可以阻止汽车充电，但它也可以打开充电站的预约模式，使客户无法访问。

此外，研究人员表示，恶意演员可以通过操纵插座锁定舱口来解锁电缆，从而使小偷可以通过电缆走开。

第二个漏洞CVE-2018-7801被评为高风险。此代码注入漏洞允许远程攻击者执行任意代码并以最大权限获取未经授权的访问。

攻击者还可以直接管理操作系统，执行诸如添加新用户，更改文件和配置以及添加后门和其他通过标准方法无法检测或修复的修改等操作。

第三个是CVE-2018-7802，它是一个SQL注入漏洞，可以使攻击者绕过授权并以完全权限访问工作站的Web界面。

“利用这些漏洞可能会导致严重的后果，”Positive Technologies的行业和SCADA研究分析师Paolo Emiliani说。“攻击者实际上可以阻止电动汽车充电并对能源行业造成严重损害。”

安全研究人员向 Schneider Electric 发送了有关他们在2018年5月发现的漏洞的详细信息。

总部位于莫斯科的Positive Technologies公司多年来一直在分析施耐德电气产品的安全性。它帮助能源管理公司发现了工业过程自动化系统和APC不间断电源的缺陷。