En una alerta de seguridad, Schneider Electric confirmó la detección y corrección de diversas vulnerabilidades que residen en las estaciones de carga para vehículos eléctricos EVlink, lo que podría exponer estas implementaciones a los hackers maliciosos. Para ser específicos, las fallas residen en los equipos EVlink City (EVC1S22P4 y EVC1S7P4), Parking (EVW2, EVF2 y EVP2PE) y Smart Wallbox (EVB1A), además de otros productos que ya no recibirán soporte.
De entre las vulnerabilidades abordadas, destacan errores de falsificación de solicitudes entre sitios (CSRF) y fallas de scripts entre sitios (XSS), que podrían ser explotadas para desplegar acciones suplantando a los usuarios legítimos; además, se abordó una vulnerabilidad que podría brindar a los atacantes acceso total a las estaciones de carga vía ataques de fuerza bruta. La más severa de las fallas recibió un puntaje de 9.3/10 según el Common Vulnerability Scoring System (CVSS).
La compañía advierte que la explotación de la falla crítica podría llevar a severos escenarios de riesgo: “La manipulación maliciosa de las estaciones de carga podría conducir a ataques de denegación de servicio (DoS), eliminación de registros y divulgación de información confidencial”, señala el aviso de Schneider. La explotación de la mayoría de estas vulnerabilidades requeriría acceso físico a los puertos de comunicación internos del sistema, aunque algunos ataques complejos pueden ser explotados de forma remota a través de Internet.
Tony Nasr, investigador que reportó inicialmente las vulnerabilidades, menciona que los errores implican el envío de solicitudes especialmente diseñadas y la explotación no requiere interacción de usuarios vulnerables: “Los ataques permiten a los actores de amenazas explotar el EVCS comprometido de forma similar al funcionamiento de una botnet, permitiendo el despliegue de diversos ataques”. No obstante, la explotación de las vulnerabilidades CSRF y XSS requiere de niveles específicos de interacción de los usuarios.
El investigador agrega que, si bien el vector de ataque más peligroso apunta a implementaciones EVlink orientadas a Internet, los cibercriminales aún podrían crear un riesgo de seguridad severo para estas estaciones a través de LAN, pues la configuración EVlink requiere conectividad de red para un control remoto y administración más eficiente.
Nasr concluyó mencionando que estas vulnerabilidades se encontraron como parte de un estudio más amplio sobre los sistemas de administración de estaciones de carga de vehículos eléctricos. Los resultados completos del estudio estarán disponibles en los próximos meses.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad