Schneider Electric исправила опасную уязвимость в зарядных станциях EVLink Parking
Проблема связана с наличием вшитых учетных данных, с помощью которых злоумышленник может получить доступ к системе.
Компания Schneider Electric предупредила о ряде уязвимостей в линейке зарядных станций для электромобилей EVLink Parking. Одна из проблем (CVE-2018-7800) связана с наличием вшитых учетных данных в версиях EVLink Parking v3.2.0-12_v1 и ниже, с помощью которых злоумышленник может получить доступ к системе. Кроме вышеуказанного, производитель устранил еще два бага (CVE-2018-7801 и CVE-2018-7802). Первый предоставляет возможность выполнения кода с наивысшими привилегиями, а второй позволяет получить доступ к web-интерфейсу с полными правами. Компания не уточнила, какой именно дополнительный доступ может получить злоумышленник, скомпрометировав станции EVLink Parking. Устройство является частью решения EVLink Parking, которое включает собственно зарядную станцию, online-портал EVLink insights и сервисы обслуживания и техподдержки. Удаленное управление системами осуществляется через облачный сервис. Ранее специалисты «Лаборатории Касперского» опубликовали обширный отчет об уязвимостях в домашних зарядных устройствах для электромобилей. С их помощью киберпреступники могут осуществить кибератаки, способные нанести физический ущерб автомобилям, к примеру, взломать зарядную станцию, отключить питание транспортного средства или даже вызвать возгорание.
Schneider Electric также выпустила патч, устраняющий уязвимость (CVE-2018-7797) в автоматизированной системе управления электроэнергией EcoStruxure, которая позволяет использовать решение как платформу для проведения фишинговых атак.