Уязвимости позволяют отключить зарядную станцию, выполнить произвольные команды и получить доступ к web-интерфейсу.
Специалисты компании Positive Technologies Владимир Кононович и Вячеслав Москвинобнаружилив зарядных станциях для корпоративного автопарка Schneider Electric EVLink Parking ряд опасных уязвимостей. С их помощью злоумышленник может отключить устройство, тем самым предотвратив зарядку автомобиля, выполнить произвольные команды и получить доступ к web-интерфейсу со всеми привилегиями.
Уязвимости затрагивают версии EVLink Parking 3.2.0-12_v1 и более ранние.
CVE-2018-7800: Наличие неизменяемых учетных данных, позволяющих злоумышленнику получить доступ к устройству. По системе оценивания CVSS v3 уязвимость получила 9,8 балла из максимальных 10.
CVE-2018-7801: Позволяет удаленно выполнить произвольный код с максимальными привилегиями. По системе оценивания CVSS v3 уязвимость получила 8,8 балла из максимальных 10.
CVE-2018-7802: Позволяет осуществить SQL-инъекции и получить доступ к web-интерфейсу со всеми привилегиями. По системе оценивания CVSS v3 уязвимость получила 6,4 балла из максимальных 10.
Специалисты Schneider Electric рекомендуют использовать межсетевые экраны для ограничения удаленного доступа к зарядным станциям. Также доступно обновление прошивки, в котором уязвимости уже исправлены.