Schneider ha solucionado tres vulnerabilidades en una de sus estaciones de carga de automóviles eléctricos populares, que según los investigadores de seguridad podrían haber permitido fácilmente que un atacante tomara la unidad de forma remota.
En el peor de los casos, un atacante puede obligar a un vehículo conectado a dejar de cargar, inutilizándolo en un “estado de denegación de servicio”, un ataque favorecido por algunos actores de amenazas, ya que es una forma efectiva de obligar a alguien a dejar de funcionar.
Los errores se corrigieron con una actualización de software que se lanzó el 2 de septiembre poco después de que los errores se divulgaran por primera vez, y los detalles limitados de los errores se revelaron en un documento de respaldo el 20 de diciembre. Ahora, una imagen más completa de las vulnerabilidades, encontrada por New La firma de seguridad con sede en York Positive Technologies, fue lanzada hoy, casi un mes después.
Las estaciones de carga EVLink de Schneider vienen en todas las formas y tamaños, algunas para la pared del garaje y otras para estaciones de servicio. Son las estaciones de carga en oficinas, hoteles, centros comerciales y garajes de estacionamiento que son vulnerables, dijo Positivo.
En el centro de la divulgación de Positive se encuentran las estaciones de carga eléctrica EVLink Parking de Schneider, uno de los varios productos de carga que Schneider vende, y se comercializa principalmente en complejos de apartamentos, área de estacionamiento privado, oficinas y municipios. Estas estaciones de carga están diseñadas, al igual que otras, para vehículos híbridos totalmente eléctricos y enchufables, incluido Teslas, que tiene su propio conector patentado.
Debido a que la estación de estacionamiento EVLink se puede conectar a la nube de Schneider con conectividad a Internet, ya sea a través de una celda o una conexión de banda ancha, Positive dijo que cualquiera puede acceder a la interfaz de usuario basada en la web en la unidad de carga y enviar comandos fácilmente a la carga. estación – incluso mientras está en uso.
“Un pirata informático puede detener el proceso de carga, cambiar el dispositivo al modo de reserva, lo que lo haría inaccesible para cualquier cliente hasta que se desactive el modo de reserva, e incluso desbloquear el cable durante la carga mediante la manipulación de la escotilla de bloqueo del zócalo, lo que significa que los atacantes podrían aléjate con el cable ”, dijo Positivo.
“Para los conductores de automóviles eléctricos, esto significa no poder usar sus vehículos ya que no se pueden cargar”, dijo.
Positive no dijo cuál era la contraseña eliminada desde entonces, pero, dada la curiosidad, preguntamos y actualizaremos cuando recibamos una respuesta.
Los investigadores Vladimir Kononovich y Vyacheslav Moskvin también encontraron otros dos errores que le dan a un atacante acceso total a través de un dispositivo: una falla de inyección de código y una vulnerabilidad de inyección SQL. Ambos fueron arreglados en la misma actualización de software.
Schneider no respondió a una solicitud de comentarios. Si eso cambia, lo actualizaremos.
Informes adicionales: Kirsten Korosec.
Source link