施耐德汽车充电站的EVLink Parking系统存在致命漏洞
EVLink Parking汽车充电站通常位于不同建筑环境的停车场中,例如办公室、酒店、超市、市政等。
根据施耐德公司的说法,这是一个硬编码凭证漏洞,攻击者可以利用该漏洞来访问整套系统。
该漏洞被标记为CVE-2018-7800,主要影响EVLink Parking中地面装置v3.2.0-12_v1以及更早的版本。
Schneider Electric发布的安全通报(https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-354-01-EVLink.pdf&p_Doc_Ref=SEVD-2018-354-01)中写道:“在这套系统中存在能使攻击者未授权访问设备的硬编码凭证漏洞。”
除此之外,施耐德安全部门还解决了被标记为CVE-2018-7801的代码注入漏洞以及被标记为CVE-2018-7802的SQL注入漏洞。(https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-354-01-EVLink.pdf&p_Doc_Ref=SEVD-2018-354-01)
代码注入漏洞,严重等级为高(CVSS 8.8),攻击者利用它可以以系统最高权限远程执行命令。
“系统存在一个代码注入漏洞,当执行利用代码时,该漏洞可导致攻击者以最大的权限访问系统。”报告中这样写道。
SQL注入漏洞的严重级别为中等(CVSS 6.4),可能会导致攻击者拥有Web端的完全控制权。
Positive Technologies的Vladimir Kononovich和Vyacheslav Moskvin报告了CVE-2018-7801漏洞,同时Vladimir Kononovich还发现了CVE-2018-7800和CVE-2018-7802这两个漏洞。
原文链接:https://securityaffairs.co/wordpress/79199/hacking/vehicle-charging-stations-flaws.html