施耐德電氣EVlink Parking充電站的三個安全漏洞細節(jié)已公布。

據(jù)外媒報道，如果近日發(fā)現(xiàn)的施耐德電氣EVlink Parking充電站漏洞被黑客利用，電動汽車車主將會無法給汽車充電。

據(jù)了解，目前多個國家的辦公樓、酒店和超市附近均配備施耐德電氣的EVlink Parking充電站。施耐德電氣表示，各充電站的管理人員需要注意，如果當前充電站的固件版本是3.2.0-12_v1及之前的版本，建議充電站安裝新的固件。另外，個人用戶可以設(shè)置防火墻，阻止除授權(quán)用戶以外的遠程/外部訪問，以降低遭受攻擊的風險。

三個漏洞的細節(jié)是由莫斯科的網(wǎng)絡(luò)安全公司PositiveTechnologies的兩個安全專家Vladimir Kononovich和Vyacheslav Moskvin發(fā)現(xiàn)的。他們表示，這三個漏洞分別是超危漏洞、高危漏洞、中危漏洞。

超危漏洞是CVE-2018-7800，與硬編碼證書錯誤有關(guān)，該漏洞可以讓黑客擁有最大訪問權(quán)限來訪問充電站，甚至控制充電過程。黑客可以讓汽車停止充電，也可以打開預(yù)約模式，讓顧客無法進行充電。此外，黑客可以在汽車充電過程中操控插座鎖定裝置，解鎖電纜，讓小偷偷走電纜。

高危漏洞是CVE-2018-7801。這種代碼注入漏洞允許遠程攻擊者執(zhí)行任意代碼，并獲得最大訪問權(quán)限。攻擊者還可以直接管理操作系統(tǒng)，執(zhí)行如添加新用戶、更改文件和配置、添加后門及其他方法，致使充電站的合法管理者無法進行檢測、修復等操作。

中危漏洞是CVE-2018-7802。它是一個SQL注入漏洞，攻擊者可以繞過授權(quán)，以最大權(quán)限訪問網(wǎng)站。

Positive Technologies公司的行業(yè)研究分析師Paolo Emiliani表示，這些漏洞可能會造成嚴重后果，攻擊者可以阻止電動汽車充電，這對能源行業(yè)會造成嚴重損害。

Positive Technologies多年來一直在分析施耐德電氣產(chǎn)品的安全性，曾幫助施耐德電氣發(fā)現(xiàn)工業(yè)過程自動化系統(tǒng)和APC不間斷電源的缺陷。據(jù)稱，PositiveTechnologies安全研究人員早在2018年5月，就已經(jīng)向施耐德電氣發(fā)送了他們發(fā)現(xiàn)的漏洞詳細信息。