從施耐德電氣有限公司（Schneider Electric SA）於近日釋出的一份安全公告來看，該公司旗下電動汽車充電樁產品EVLink Parking受到多個安全漏洞的影響，包括一個緊急（Critical）漏洞、一個高危（High）漏洞一箇中危（Medium）漏洞。

這份安全公告指出，這三個安全漏洞影響到EVLink Parking v3.2.0-12_v1及之前的所有版本。具體漏洞細節如下：

• 第一個漏洞：CVE-2018-7800

CVSS:3.0評分：9.8（Critical）

漏洞描述：該漏洞屬於一個硬編碼憑證漏洞，允許攻擊者獲得對受影響裝置的完全訪問許可權。

• 第二個漏洞：CVE-2018-7801

CVSS:3.0評分：8.8（High）

漏洞描述：該漏洞屬於一個程式碼注入漏洞，允許攻擊者通過遠端執行程式碼來獲取對系統最大許可權的訪問。

• 第三個漏洞：CVE-2018-7802

CVSS:3.0評分：6.4（Medium）

漏洞描述：該漏洞屬於一個SQL注入漏洞，允許攻擊者獲得對Web介面的完全訪問許可權。

與此同時，施耐德電氣在這份安全公告中也釋出了下載軟體更新的連結，並提供了一些漏洞緩解建議：

• 軟體更新下載連結：hxxps://www.schneider-electric.com/en/download/range/60850- EVlink%20Parking/?docTypeGroup=3541958-Software%2FFirmware&language=en_GBEnglish
• 為減輕上述漏洞帶來的風險，客戶可採用以下緩解措施：設定防火牆，阻止非授權使用者的遠端/外部訪問。

此外，施耐德電氣還給出瞭如下安全最佳實踐：

• 將具有遠端連線功能的裝置或系統置於防火牆後面，並將它們與業務網路隔離；
• 阻止非授權使用者訪問工業控制系統（ICS）、控制器和外圍裝置；
• 所有的控制器都應放置在帶鎖的櫃子裡，並且不要讓它們一直處於程式模式；
• 所有的程式設計軟體也都應放置在帶鎖的櫃子裡，除了必須要連線的網路之外，永遠不要連線其他任何網路；
• 在使用CD、USB驅動器等儲存裝置與隔離裝置或系統進行資料交換時，都應事先進行病毒掃描；
• 在不能確保安全的情況下，不要將隔離裝置或系統與其他網路中的膝上型電腦進行連線；
• 確保隔離裝置或系統無法直接通過網際網路訪問；
• 當需要遠端訪問時，請使用安全的方法。比如，虛擬專用網路（VPN）。另外，還應該認識到VPN也可能存在漏洞，因此應該隨時更新至可用的最新版本。