EVlink Parking充电站安全漏洞可能让攻击者控制充电站

　　【CNMO新闻】最近，在施耐德电气（Schneider Electric）的EVlink Parking充电站中发现了一些漏洞，导致无法为汽车充电，而这些充电站多位于国家的办公室、酒店和超市旁边。

电动汽车充电站

　　Positive Technologies的安全专家Vladimir Kononovich和Vyacheslav Moskvin已经发现了三个漏洞，并且提供了这些漏洞的详细信息，该能源管理公司也于12月20日发布了安全通告。

　　施耐德电气（Schneider Electric）正在敦促其客户对充电站进行更新。该公司还表示，用户可以“设置防火墙来阻止除授权用户之外的远程/外部访问”，以降低受到攻击的风险。

　　在这三个漏洞中，一个是严重漏洞，一个是高风险漏洞，第三个是中等漏洞。

　　严重漏洞CVE-2018-7800与硬编码凭据bug有关，该错误可使攻击者以最大权限访问充电站。黑客可以访问充电站的Web界面并发送命令来控制充电过程。例如，它可以阻止汽车充电，也可以打开充电站的预约模式，使客户无法使用。此外，研究人员表示，恶意攻击者可以通过操纵插座锁定舱口以解锁电缆，使小偷可以将它偷走。

　　第二个漏洞CVE-2018-7801被评为高风险级别。此代码注入漏洞允许远程攻击者执行任意代码并以最大权限获取未经授权的访问。攻击者还可以直接管理操作系统，执行诸如添加新用户、更改文件和配置、添加后门以及其他通过标准方法无法检测到或修复的调整等操作。

　　第三个漏洞是CVE-2018-7802，它是一个SQL注入漏洞，可以使攻击者绕过授权并以完全权限访问充电站的Web界面。Positive Technologies的行业和SCADA研究分析师Paolo Emiliani表示：“这些漏洞可能会导致严重的后果，攻击者实际上可以阻止电动汽车充电并对能源行业造成严重的损害。”

　　总部位于莫斯科的Positive Technologies公司多年来一直在分析施耐德电气（Schneider Electric）产品的安全性。它已经帮助这家能源管理公司发现了工业过程自动化系统和APC不间断电源的缺陷。