Schneider Electric oʻzining EVLink Parking zaryadlash stansiyalaridagi xavfli zaiflikni tuzatdi.
Muammo tajovuzkor tizimga kirish uchun foydalanishi mumkin bo’lgan o’rnatilgan hisob ma’lumotlarining mavjudligi bilan bog’liq.
Schneider Electric kompaniyasi oʻzining EVLink Parking liniyasida elektromobillarni zaryadlash stansiyalarida bir qator zaifliklar borligi haqida ogohlantirdi. Muammolardan biri (CVE-2018-7800) EVLink Parking v3.2.0-12_v1 va undan oldingi versiyalarida qattiq kodlangan hisobga olish maʼlumotlarining mavjudligi bilan bogʻliq boʻlib, bu tajovuzkorga tizimga kirishga imkon berishi mumkin. Bundan tashqari, ishlab chiqaruvchi yana ikkita xatoni (CVE-2018-7801 va CVE-2018-7802) tuzatdi. Birinchisi kodni eng yuqori imtiyozlar bilan bajarishga imkon beradi, ikkinchisi esa veb-interfeysga toʻliq huquqlar bilan kirish imkonini beradi. Kompaniya tajovuzkor EVLink Parking stansiyalarini buzish orqali qanday qoʻshimcha kirish huquqiga ega boʻlishi mumkinligini aniqlamadi. Qurilma zaryadlash stansiyasining oʻzi, EVLink tushunchalar onlayn portali va xizmat koʻrsatish va qoʻllab-quvvatlash xizmatlarini oʻz ichiga olgan EVLink Parking yechimining bir qismidir. Masofaviy tizimni boshqarish bulut xizmati orqali amalga oshiriladi. Kaspersky Lab tadqiqotchilari ilgari uy elektr transport vositalari zaryadlovchilaridagi zaifliklar haqida keng qamrovli hisobotni nashr etishgan edi. Bu zaifliklar kiberjinoyatchilarga transport vositalariga jismoniy zarar yetkazishi mumkin bo’lgan kiberhujumlarni amalga oshirish imkonini beradi, masalan, zaryadlash stantsiyasini buzib kirish, transport vositasining elektr ta’minotini uzib qo’yish yoki hatto yong’inga olib kelishi mumkin.
Schneider Electric shuningdek, EcoStruxure energiya boshqaruv tizimidagi zaiflikni (CVE-2018-7797) bartaraf etish uchun yamoqni chiqardi, bu yechimdan fishing hujumlari uchun platforma sifatida foydalanishga imkon berishi mumkin.
