黑客可利用安全漏洞控制電動汽車充電站
更多全球網路安全資訊盡在E安全官網www.easyaq.com
小編來報:施耐德電氣EVlink Parking充電站的三個安全漏洞細節已公布。
據外媒報道,如果近日發現的施耐德電氣EVlink Parking充電站漏洞被黑客利用,電動汽車車主將會無法給汽車充電。
據了解,目前多個國家的辦公樓、酒店和超市附近均配備施耐德電氣的EVlink Parking充電站。施耐德電氣表示,各充電站的管理人員需要注意,如果當前充電站的固件版本是3.2.0-12_v1及之前的版本,建議充電站安裝新的固件。另外,個人用戶可以設置防火牆,阻止除授權用戶以外的遠程/外部訪問,以降低遭受攻擊的風險。
三個漏洞的細節是由莫斯科的網路安全公司PositiveTechnologies的兩個安全專家Vladimir Kononovich和Vyacheslav Moskvin發現的。他們表示,這三個漏洞分別是超危漏洞、高危漏洞、中危漏洞。
超危漏洞是CVE-2018-7800,與硬編碼證書錯誤有關,該漏洞可以讓黑客擁有最大訪問許可權來訪問充電站,甚至控制充電過程。黑客可以讓汽車停止充電,也可以打開預約模式,讓顧客無法進行充電。此外,黑客可以在汽車充電過程中操控插座鎖定裝置,解鎖電纜,讓小偷偷走電纜。
高危漏洞是CVE-2018-7801。這種代碼注入漏洞允許遠程攻擊者執行任意代碼,並獲得最大訪問許可權。攻擊者還可以直接管理操作系統,執行如添加新用戶、更改文件和配置、添加後門及其他方法,致使充電站的合法管理者無法進行檢測、修復等操作。
中危漏洞是CVE-2018-7802。它是一個SQL注入漏洞,攻擊者可以繞過授權,以最大許可權訪問網站。
Positive Technologies公司的行業研究分析師Paolo Emiliani表示,這些漏洞可能會造成嚴重後果,攻擊者可以阻止電動汽車充電,這對能源行業會造成嚴重損害。
Positive Technologies多年來一直在分析施耐德電氣產品的安全性,曾幫助施耐德電氣發現工業過程自動化系統和APC不間斷電源的缺陷。據稱,PositiveTechnologies安全研究人員早在2018年5月,就已經向施耐德電氣發送了他們發現的漏洞詳細信息。
TAG:E安全 |