Los equipos de seguridad de Schneider Electric anunciaron la corrección de una falla en EVlink, su sistema de estaciones de carga para vehículos eléctricos. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar ataques de denegación de servicio (DoS).
Los puntos de recarga EVlink se instalan en propiedades privadas, estacionamientos públicos y algunas vías públicas. Las fallas residen en tres familias de productos EVlink: City, Parking y Smart Wallbox. La compañía abordó un total de 13 fallas, incluyendo tres errores críticos, ocho fallas de severidad alta y dos más consideradas de gravedad media.
El problema está relacionado principalmente con tres vulnerabilidades que recibieron una puntuación de 9.4/10 acorde al Common Vulnerability Scoring System (CVSS). La primera de estas fallas fue descrita como una evasión del mecanismo de autenticación en EVlink (CVE-2021-22707), mientras que las fallas restantes (CVE-2021-22730 y CVE-2021-22729) son errores de codificación de credenciales y fallas en las contraseñas.
Schneider menciona que los administradores de puntos de carga afectados deben aplicar la actualización de firmware para evitar verse expuestos a un posible acceso no autorizado al servidor de esta implementación: “El acceso o autorizado permitiría la manipulación y el compromiso de las cuentas que administran las estaciones de carga”, señala la alerta de la compañía.
Cabe mencionar que las fallas pueden ser explotadas de forma remota si las estaciones de carga están expuestas en Internet, una práctica muy común y muy poco recomendable, mencionan expertos en ciberseguridad.
Al respecto, el investigador Stefan Viehböck, a cargo de este análisis, menciona que es altamente probable encontrar dispositivos vulnerables expuestos en Internet empleando herramientas comunes como Shodan o Censys: “Incluso en una red interna los administradores de estas estaciones podrían verse afectados por ataques de phishing y otras variantes de hacking”, agrega el experto.
El reporte de la compañía también menciona que las fallas pueden ser explotadas obteniendo acceso físico al puerto de comunicación interno de la estación de carga. Este ataque requiere desmontar el gabinete de la estación de carga o, en el caso de una estación conectada, acceder a la red del sistema de supervisión de la estación de carga.
Las fallas están presentes en el firmware R7, versión v3.3.0.15, y fueron abordadas en el firmware R8, versión v3.4.0.1, que fue lanzado esta semana.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
