CERT通告低
Mobility46电动汽车充电桩严重漏洞暴露管理员控制风险
1分钟阅读来源: CISA Cybersecurity Advisories
美国CISA披露Mobility46电动汽车充电桩多个严重漏洞,攻击者可获未授权管理员访问权限或发起DoS攻击,威胁运营技术(OT)环境安全。
Mobility46电动汽车充电桩严重漏洞可导致未授权管理员访问
美国网络安全与基础设施安全局(CISA)近日披露了Mobility46电动汽车(EV)充电桩中存在的多个严重漏洞,攻击者可能利用这些漏洞获取未授权管理员控制权限,或通过拒绝服务(DoS)攻击中断服务。该安全公告发布于**ICSA-26-057-08**,并强调了对运营技术(OT)环境的潜在风险。
技术细节
这些漏洞影响Mobility46充电桩固件,具体包括:
- CVE-2026-23987:身份验证绕过漏洞,可在无凭据的情况下获取管理员访问权限(CVSS评分:9.8,严重级别)。
- CVE-2026-23988:输入验证不当导致DoS攻击条件(CVSS评分:7.5,高危级别)。
攻击者需通过网络访问充电桩的管理界面才能利用这些漏洞。成功利用后,攻击者可篡改设置、窃取数据或使设备无法正常运行。
影响分析
- 未授权控制:威胁行为者可修改充电参数、禁用安全协议或部署勒索软件。
- 服务中断:DoS攻击可能导致充电操作中断,影响关键基础设施(如车队停车场、公共充电网络)。
- 供应链风险:被攻陷的充电桩可能成为OT网络中横向移动的跳板。
建议措施
CISA敦促相关方采取以下措施:
- 应用补丁:升级至最新固件版本(详情请参阅Mobility46安全公告)。
- 网络隔离:将充电桩与企业IT及OT系统进行网络分段隔离。
- 流量监控:部署入侵检测系统(IDS)以监测异常活动。
- 查阅CSAF文档:参考CSAF文档获取详细缓解措施。
注意:目前尚未报告有漏洞被主动利用的事件,但未修补的系统仍面临高风险。
更多更新,请关注CISA工控系统安全公告。