1. 程式人生 > >施耐德電動汽車充電樁EVLink Parking曝多個安全漏洞

施耐德電動汽車充電樁EVLink Parking曝多個安全漏洞

從施耐德電氣有限公司(Schneider Electric SA)於近日釋出的一份安全公告來看,該公司旗下電動汽車充電樁產品EVLink Parking受到多個安全漏洞的影響,包括一個緊急(Critical)漏洞、一個高危(High)漏洞一箇中危(Medium)漏洞。

這份安全公告指出,這三個安全漏洞影響到EVLink Parking v3.2.0-12_v1及之前的所有版本。具體漏洞細節如下:

  • 第一個漏洞:CVE-2018-7800

CVSS:3.0評分:9.8(Critical)

漏洞描述:該漏洞屬於一個硬編碼憑證漏洞,允許攻擊者獲得對受影響裝置的完全訪問許可權。

  • 第二個漏洞:CVE-2018-7801

CVSS:3.0評分:8.8(High)

漏洞描述:該漏洞屬於一個程式碼注入漏洞,允許攻擊者通過遠端執行程式碼來獲取對系統最大許可權的訪問。

  • 第三個漏洞:CVE-2018-7802

CVSS:3.0評分:6.4(Medium)

漏洞描述:該漏洞屬於一個SQL注入漏洞,允許攻擊者獲得對Web介面的完全訪問許可權。

與此同時,施耐德電氣在這份安全公告中也釋出了下載軟體更新的連結,並提供了一些漏洞緩解建議:

  • 軟體更新下載連結:hxxps://www.schneider-electric.com/en/download/range/60850- EVlink%20Parking/?docTypeGroup=3541958-Software%2FFirmware&language=en_GBEnglish
  • 為減輕上述漏洞帶來的風險,客戶可採用以下緩解措施:設定防火牆,阻止非授權使用者的遠端/外部訪問。

此外,施耐德電氣還給出瞭如下安全最佳實踐:

  • 將具有遠端連線功能的裝置或系統置於防火牆後面,並將它們與業務網路隔離;
  • 阻止非授權使用者訪問工業控制系統(ICS)、控制器和外圍裝置;
  • 所有的控制器都應放置在帶鎖的櫃子裡,並且不要讓它們一直處於程式模式;
  • 所有的程式設計軟體也都應放置在帶鎖的櫃子裡,除了必須要連線的網路之外,永遠不要連線其他任何網路;
  • 在使用CD、USB驅動器等儲存裝置與隔離裝置或系統進行資料交換時,都應事先進行病毒掃描;
  • 在不能確保安全的情況下,不要將隔離裝置或系統與其他網路中的膝上型電腦進行連線;
  • 確保隔離裝置或系統無法直接通過網際網路訪問;
  • 當需要遠端訪問時,請使用安全的方法。比如,虛擬專用網路(VPN)。另外,還應該認識到VPN也可能存在漏洞,因此應該隨時更新至可用的最新版本。