Nul
Elektrische auto ‘ s kan zich niet verantwoordelijk voor hun voertuigen als aanvallers exploiteren onlangs ontdekte gebreken in het Schneider Electric EVlink Parkeergelegenheid laadpalen, te vinden in kantoren, hotels en supermarkten in verschillende landen.
Security-experts Vladimir Kononovich en Vjatsjeslav Moskvin op Positieve Technologieën zijn nu het aanbieden van gegevens van de drie kwetsbaarheden ontdekte ze dat leidde tot de energie-management bedrijf de afgifte van een beveiligingsmelding op 20 December.
Schneider Electric ligt op aandringen van haar klanten bij het installeren van nieuwe firmware op on (aan de laadstations, als de huidige versie 3.2.0-12_v1 of eerder. Hij zei ook dat gebruikers kunnen het opzetten van een firewall te blokkeren extern/externe toegang niet toe behalve door geautoriseerde gebruikers” om het risico van een aanval.
Van de drie kwetsbaarheden, één van cruciaal belang is, een hoog risico, en de derde is beoordeeld medium.
De kritieke kwetsbaarheid CVE-2018-7800, is gebonden aan een hard-gecodeerde identificatie bug die in staat zou kunnen stellen aanvallers om toegang te krijgen tot het laadstation met maximale bevoegdheden.
De hacker toegang heeft tot het station van de web-interface en het verzenden van opdrachten tot controle van het laadproces. Het kan, bijvoorbeeld, het stoppen van een auto uit te laden, maar het kan ook een schakelaar op de reservering modus van het laadstation, waardoor het niet toegankelijk voor klanten.
Bovendien, zeggen de onderzoekers een kwaadaardige acteur kon het ontgrendelen van de kabel tijdens het opladen van een auto door het manipuleren van de socket vergrendelen van luik, waardoor een dief te lopen met de kabel.
De tweede kwetsbaarheid CVE-2018-7801, is beoordeeld als hoog risico. Deze code-injectie kwetsbaarheid kunnen externe aanvallers willekeurige code kan uitvoeren, en het verkrijgen van onbevoegde toegang met maximale bevoegdheden.
Aanvallers kunnen ook het beheer van de OS direct, het uitvoeren van handelingen zoals het toevoegen van nieuwe gebruikers, het wijzigen van bestanden en configuraties, en het toevoegen van backdoors en andere wijzigingen die niet aantoonbaar of de muur al standaard middelen.
De derde, CVE-2018-7802, is een SQL-injectie kwetsbaarheid die kan een aanvaller de mogelijkheid om de machtiging te omzeilen en toegang te krijgen tot het station ‘ s web-interface met volledige bevoegdheden.
“Uitbuiting van deze kwetsbaarheid kan leiden tot ernstige gevolgen,” zei Paolo Emiliani, industrie en SCADA research analist bij een Positieve Technologieën. “Aanvallers eigenlijk kan blokkeren elektrische auto opladen en veroorzaken ernstige schade aan de energie-industrie.”
Beveiliging onderzoekers verzonden Schneider Electric de details van de kwetsbaarheden die ze vonden in Mei 2018.
Moskou-hoofdkantoor Positieve Technologieën is het analyseren van de veiligheid van Schneider Electric producten voor meerdere jaren. Het heeft geholpen de energie-management bedrijf te vinden van bugs in het industriële proces automatisering systemen en APC ups (uninterruptible power bronnen.
ZDNet heeft contact opgenomen met Schneider Electric voor commentaar en zal dit artikel updaten als er een antwoord ontvangt.
Vorige en aanverwante dekking
Schneider Electric lanceert snel-oplader voor elektrische voertuigen
De EVlink DC snellader sluit zich aan bij een groeiende portfolio van EV laders ontworpen om toegang te bieden tot 80 procent van een accu lader in een half uur of minder.
Singapore utility groep rolt de eerste batch van elektrische voertuigen op te laden punten
SP-Groep is begonnen met haar 38 oplaadpunten op acht locaties verspreid over het eiland, die gebruik maken van een mix van 50 kw gelijkstroom en 43kW wisselstroom, als onderdeel van de plannen voor de bouw van een netwerk van 1.000 oplaadpunten in 2020.
Volkswagen snaps tot participatie in om EV op te laden tech firma Hubject
De autofabrikant is het wedden groot op nieuwe technologieën om oude schandalen om uit te rusten.
De nieuwe woon-werkverkeer: Hoe driverless auto ‘ s, hyperloop, en drones zal veranderen onze reisplannen TechRepublic
Vervoer is over het krijgen van een technologie-gedreven opnieuw opstarten. De details zijn nog steeds van vorm, maar de toekomst van het vervoer systemen zal zeker worden aangesloten, data-gedreven en sterk geautomatiseerd.
De nieuwe woon-werkverkeer: Hoe driverless auto ‘ s, hyperloop, en drones zal veranderen onze reis te plannen, CNET
Vervoer is over het krijgen van een technologie-gedreven opnieuw opstarten. De details zijn nog steeds van vorm, maar de toekomst van het vervoer systemen zal zeker worden aangesloten, data-gedreven en sterk geautomatiseerd.
Verwante Onderwerpen:
EU
Beveiliging TV
Data Management
CXO
Datacenters
0