Laadpalen Schneider Electric door kwetsbaarheid over te nemen
Laadpalen van fabrikant Schneider Electric zijn door twee kwetsbaarheden over te nemen en toegankelijk voor aanvallers. Dat ontdekten onderzoekers van securitybedrijf SEC Consult. Schneider Electric heeft firmware-updates uitgebracht om de problemen te verhelpen. SEC Consult roept eigenaren van een kwetsbare laadpaal op om de patch meteen te installeren.
De kwetsbaarheden zijn aanwezig in de EVlink-laadstations van Schneider Electric. Het eerste beveiligingslek wordt aangeduid als CVE-2021-22707 en betreft ongedocumenteerde hardcoded credentials waarmee er toegang tot de webinterface kan worden verkregen. De tweede kwetsbaarheid kreeg CVE-nummer CVE-2021-22708 en maakt het mogelijk voor een aanvaller om zijn eigen firmware op de laadpaal te installeren.
Dit beveiligingslek is mogelijk doordat het mechanisme dat de integriteit van de firmware-update controleert is te omzeilen. Het systeem van de laadpaal controleert updates aan de hand van de inhoud en een vaste waarde binnen de update. Een aanvaller kan deze controle omzeilen door eerst de inhoud te wijzigen en daarna de hashwaarde binnen de firmware-update aan te passen.
Onderzoekers van SEC Consult vermoeden dat de kwetsbaarheid met het updatemechanisme eerder al als CVE-2018-7801 was gerapporteerd (pdf). De oplossing die toen werd doorgevoerd lijkt het onderliggende probleem niet te helpen verholpen, zo merken ze op. SEC Consult waarschuwde Schneider Electric op 11 maart van dit jaar, waarna op 13 juli een firmware-update beschikbaar werd gesteld (pdf).
Wat kun je als je bij de web interface kunt? Auto in brand laten vliegen? (waarom heeft zo'n ding überhaupt een web interface...)
guess again
Hoe vaak komt dit voor? Vaak, heel vaak.
Let wel op, SE levert ook aan vitale infra, waar je deze bij groot misbruik ook onder kan plaatsen.
maandag 12 juli 2021, 10:40 door Redactie
https://www.security.nl/posting/711726/AT%3A+digitalisering+maakt+energienet+kwetsbaar+voor+cyberaanvallen
Dit kan je natuurlijk met een applicatie op een laptop doen, maar welk OS ga je dan ondersteunen? Windows is het meest gebruikt, maar wat als je beheerder Linux of een chromebook heeft?
Webbrowser is dan zeer gemakkelijk.
Ik heb laatst voor Alfen laadpalen wat moeten doen. Drama. De beheer applicatie moet op hetzelfde subnet zitten als de laadpalen.Ofwel om dit op afstand of een anders subnet te regelen is niet mogelijk, tenzij je daar een Windows machine in hetzeldfe netwerk segment hebt draaien die je op afstand kan bereiken.
(waarom heeft zo'n ding überhaupt een web interface...)
Updaten van firware van laadpunten gaat overigens op afstand via de betreffende backoffice via het OCPP-commando (Open Charge Point Protocol) UpdateFirmware.
Ik heb laatst voor Alfen laadpalen wat moeten doen. Drama. De beheer applicatie moet op hetzelfde subnet zitten als de laadpalen.Ofwel om dit op afstand of een anders subnet te regelen is niet mogelijk, tenzij je daar een Windows machine in hetzeldfe netwerk segment hebt draaien die je op afstand kan bereiken.
die palen in zitten en waarvan ze denken dat het een lokaal netwerk is. Bijvoorbeeld met Ethernet-over-IP en een VPN.
(waarom heeft zo'n ding überhaupt een web interface...)
Updaten van firware van laadpunten gaat overigens op afstand via de betreffende backoffice via het OCPP-commando (Open Charge Point Protocol) UpdateFirmware.
Inderdaad het gevaar wordt overdreven, evenals de functionaliteit van een laadpaal overigens. In feite is het niet veel
meer dan een lichtnetaansluiting met een groot relais erin, wat door de auto bekrachtigd kan worden als die geladen
wil worden.
Er is overigens niet altijd sprake van een backoffice. Er zijn ook palen (we hebben er 2 van "Mennekes") die alleen
pasjes supporten om de lading te starten en die verder niks rapporteren ofzo. Die kun je gebruiken als je op eigen
terrein een laadpaal wilt neerzetten die je uit eigen stroomvoorziening voedt en die alleen bedoeld is om je eigen
auto(s) op te laden. Dan heb je die hele backoffice niet nodig en ben je veel goedkoper uit dan wanneer je die wel
hebt. Je gebruikt die pasjes dan alleen om te voorkomen dat anderen hun auto kunnen laden uit jouw paal, bijv als
die bij een parkeerplaats voor je deur staat waar in principe iedereen op kan komen. Je hebt geen behoefte aan
"afrekenen" dus heb je dan die backoffice ook niet nodig. De paal houdt wellicht nog info bij mbt welke pas hoe lang
heeft geladen, maar dat is het dan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
