Authentication bypass & Remote code Execution bei Schneider Electric EVlink Ladestationen

Title

Authentication bypass & Remote code execution

Product

Multiple Schneider Electric EVlink Charging Stations

Vulnerable Version

Firmware R7 (Version V3.3.0.15)

Fixed Version

Firmware R8 (Version V3.4.0.1)

CVE Number

CVE-2021-22707, CVE-2021-22708

Impact

critical

Homepage

https://www.se.com/

Found

08.03.2021

By

Stefan Viehböck (Office Vienna)

Schneider Electric Ladestationen für E-Autos der "EVlink" Serie sind von zwei Schwachstellen betroffen die es einem Angreifer ermöglichen das System zu übernehmen und dort beliebige Befehle auszuführen.

 

Angreifer können die Konfiguration der Ladestation beliebig modifizieren, ohne Erlaubnis laden bzw. auch falsche Ladeinformationen zur Abrechnung schicken (z.B. um zu viel oder zu wenig in Rechnung zu stellen). Außerdem können Angreifer dauerhaften Zugriff auf das System erlagen und diesen Zugriff für weitere Angriffe im Ziel-Netzwerk nutzen.

Zum vollständigen Security Advisory (Englisch).

EOF Stefan Viehböck / @2021

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

 

Zurück