Chargemap充电桩曝重大漏洞 风险或致管理员权限被劫持

Chargemap充电桩重大漏洞可致未授权管理员访问

美国网络安全与基础设施安全局（CISA）近日披露了Chargemap电动汽车（EV）充电桩中存在的多个重大漏洞，攻击者可利用这些漏洞未经授权获取管理员控制权或通过拒绝服务（DoS）攻击中断充电服务。该安全公告编号为ICSA-26-057-05，强调了关键基础设施领域运营技术（OT）环境面临的风险。

技术细节

这些漏洞影响Chargemap充电桩固件的特定版本（公告中版本信息已编辑）。成功利用后，攻击者可能实现以下攻击：

• 无需身份验证即可提升至管理员权限；
• 在易受攻击的设备上执行任意命令；
• 触发DoS条件，导致充电操作中断。

CISA的公告参考了通用安全咨询框架（CSAF）文档，技术规格可在此处查阅。虽然CVE编号尚未分配（公告中标记为CVE-2026-XXXX），但这些漏洞因其对物理基础设施的潜在影响被归类为高危级别。

影响分析

Chargemap充电桩广泛部署于公共和私营电动汽车充电网络，包括交通枢纽、医疗机构和政府设施等关键基础设施场所。利用这些漏洞可能导致：

• 充电服务中断，造成运营停摆和经济损失；
• 横向移动至连接的OT或IT网络；
• 引发物理安全风险，如攻击者操控充电桩控制系统（如电路过载）。

建议措施

CISA敦促相关组织采取以下措施：

1. 立即安装补丁：Chargemap发布固件更新后及时修补（关注CISA公告更新）；
2. 隔离充电桩：在部署缓解措施前，将充电桩与企业网络隔离；
3. 监控可疑活动：包括未授权访问尝试或异常命令执行；
4. 查阅CSAF文档：获取技术入侵指标（IoC）和缓解策略。

由于这些漏洞攻击复杂度低且潜在影响巨大，安全团队应优先处理。CISA将在后续更新公告中提供CVE编号等详细信息。