image

Laadpalen Schneider Electric door kwetsbaarheid over te nemen

woensdag 14 juli 2021, 15:01 door Redactie, 13 reacties

Laadpalen van fabrikant Schneider Electric zijn door twee kwetsbaarheden over te nemen en toegankelijk voor aanvallers. Dat ontdekten onderzoekers van securitybedrijf SEC Consult. Schneider Electric heeft firmware-updates uitgebracht om de problemen te verhelpen. SEC Consult roept eigenaren van een kwetsbare laadpaal op om de patch meteen te installeren.

De kwetsbaarheden zijn aanwezig in de EVlink-laadstations van Schneider Electric. Het eerste beveiligingslek wordt aangeduid als CVE-2021-22707 en betreft ongedocumenteerde hardcoded credentials waarmee er toegang tot de webinterface kan worden verkregen. De tweede kwetsbaarheid kreeg CVE-nummer CVE-2021-22708 en maakt het mogelijk voor een aanvaller om zijn eigen firmware op de laadpaal te installeren.

Dit beveiligingslek is mogelijk doordat het mechanisme dat de integriteit van de firmware-update controleert is te omzeilen. Het systeem van de laadpaal controleert updates aan de hand van de inhoud en een vaste waarde binnen de update. Een aanvaller kan deze controle omzeilen door eerst de inhoud te wijzigen en daarna de hashwaarde binnen de firmware-update aan te passen.

Onderzoekers van SEC Consult vermoeden dat de kwetsbaarheid met het updatemechanisme eerder al als CVE-2018-7801 was gerapporteerd (pdf). De oplossing die toen werd doorgevoerd lijkt het onderliggende probleem niet te helpen verholpen, zo merken ze op. SEC Consult waarschuwde Schneider Electric op 11 maart van dit jaar, waarna op 13 juli een firmware-update beschikbaar werd gesteld (pdf).

Image

Reacties (13)
14-07-2021, 15:10 door Anoniem
Afgezien van: hoe vreselijk onverwacht toch weer!?

Wat kun je als je bij de web interface kunt? Auto in brand laten vliegen? (waarom heeft zo'n ding überhaupt een web interface...)
14-07-2021, 15:11 door Anoniem
owh oh oh... Use of Hard-coded Credentials.. dat programmeer je er toch niet in?
14-07-2021, 15:26 door _R0N_
Door Anoniem: owh oh oh... Use of Hard-coded Credentials.. dat programmeer je er toch niet in?

guess again

Hoe vaak komt dit voor? Vaak, heel vaak.
14-07-2021, 15:37 door Anoniem
De alom bekende default user en password voor user en admin.
Let wel op, SE levert ook aan vitale infra, waar je deze bij groot misbruik ook onder kan plaatsen.
14-07-2021, 16:36 door Anoniem
Agentschap Telecom: digitalisering maakt energienet kwetsbaar voor cyberaanvallen
maandag 12 juli 2021, 10:40 door Redactie

https://www.security.nl/posting/711726/AT%3A+digitalisering+maakt+energienet+kwetsbaar+voor+cyberaanvallen
14-07-2021, 22:21 door Anoniem
Waarom zou je het cyberaanvallen om 's lands stroomnet plat te gooien, terwijl je misschien net zo goed er gratis stroom uit zou kunnen halen?
15-07-2021, 04:09 door Anoniem
Heb ook wel eens wat software van hen bekeken en kwam tot de conclusie dat daar wel wat te verbeteren valt. Maar hetzelfde geldt voor de hele branch denk ik, ABB bijvoorbeeld was niet veel beter. Het gevaar is dat veel van deze software interactie heeft met machines/hardware en dus ook een fysieke impact kan hebben.
15-07-2021, 09:22 door Anoniem
Door Anoniem: Waarom zou je het cyberaanvallen om 's lands stroomnet plat te gooien, terwijl je misschien net zo goed er gratis stroom uit zou kunnen halen?
Omdat je niet in dat land bent en door korte stroomonderbrekingen de energieprovider tot een losgeld betaling wil dwingen? Je kent dat wel, de mafiamethode: betaal maandelijks verzekeringsgeld, dan beloven wij, dat we je niet platleggen.
15-07-2021, 11:30 door Anoniem
Als iedereen die firmware kan aanpassen, kunnen ze bij Schneider toch ook gewoon een worm uitbrengen die de update automatisch installeert als ze een scan doen op hun eigen laadpalen? :-) :-)
15-07-2021, 11:50 door Anoniem
Door Anoniem:(waarom heeft zo'n ding überhaupt een web interface...)
Omdat een laadpaal geprogrammeerd moet kunnen worden?

Dit kan je natuurlijk met een applicatie op een laptop doen, maar welk OS ga je dan ondersteunen? Windows is het meest gebruikt, maar wat als je beheerder Linux of een chromebook heeft?
Webbrowser is dan zeer gemakkelijk.

Ik heb laatst voor Alfen laadpalen wat moeten doen. Drama. De beheer applicatie moet op hetzelfde subnet zitten als de laadpalen.Ofwel om dit op afstand of een anders subnet te regelen is niet mogelijk, tenzij je daar een Windows machine in hetzeldfe netwerk segment hebt draaien die je op afstand kan bereiken.
16-07-2021, 16:54 door Anoniem
Door Anoniem:Wat kun je als je bij de web interface kunt?
Eigenlijk kun je heel erg weinig. Je kunt de instellingen van een laadpunt wijzigen en bijvoorbeeld op plug & charge zetten of jouw eigen laadpas aan de lokale whitelist toevoegen zodat je altijd gratis kunt laden :-) Worst case is wellicht dat je de verbinding met de betreffende backoffice kunt verbreken (maar dat wordt meestal opgemerkt bij de betreffende backoffice).

Door Anoniem:Auto in brand laten vliegen?
Dat gaat niet lukken. Heb in de praktijk gezien dat installateurs een fase en een nul verwisseld hebben, waardoor er 380V (spanning tussen 2 fases) stond in plaats van 230V (spanning tussen fase en nul). De auto detecteert dat en gaat gewoon niet laden.

Door Anoniem:
(waarom heeft zo'n ding überhaupt een web interface...)
Voor ingebruikname. Een laadstation is vaak gekoppeld aan een backoffice en bij ingebruikname kun je zaken als APN name, APN username, APN password en endpoint url invullen.

Updaten van firware van laadpunten gaat overigens op afstand via de betreffende backoffice via het OCPP-commando (Open Charge Point Protocol) UpdateFirmware.
17-07-2021, 12:27 door Anoniem
Door Anoniem:
Ik heb laatst voor Alfen laadpalen wat moeten doen. Drama. De beheer applicatie moet op hetzelfde subnet zitten als de laadpalen.Ofwel om dit op afstand of een anders subnet te regelen is niet mogelijk, tenzij je daar een Windows machine in hetzeldfe netwerk segment hebt draaien die je op afstand kan bereiken.
Als je daar een installatie van moet bouwen (met meerdere van die dingen) zou ik een virtueel netwerk maken waar al
die palen in zitten en waarvan ze denken dat het een lokaal netwerk is. Bijvoorbeeld met Ethernet-over-IP en een VPN.
17-07-2021, 12:32 door Anoniem
Door Anoniem:
Door Anoniem:Wat kun je als je bij de web interface kunt?
Eigenlijk kun je heel erg weinig. Je kunt de instellingen van een laadpunt wijzigen en bijvoorbeeld op plug & charge zetten of jouw eigen laadpas aan de lokale whitelist toevoegen zodat je altijd gratis kunt laden :-) Worst case is wellicht dat je de verbinding met de betreffende backoffice kunt verbreken (maar dat wordt meestal opgemerkt bij de betreffende backoffice).

Door Anoniem:Auto in brand laten vliegen?
Dat gaat niet lukken. Heb in de praktijk gezien dat installateurs een fase en een nul verwisseld hebben, waardoor er 380V (spanning tussen 2 fases) stond in plaats van 230V (spanning tussen fase en nul). De auto detecteert dat en gaat gewoon niet laden.

Door Anoniem:
(waarom heeft zo'n ding überhaupt een web interface...)
Voor ingebruikname. Een laadstation is vaak gekoppeld aan een backoffice en bij ingebruikname kun je zaken als APN name, APN username, APN password en endpoint url invullen.

Updaten van firware van laadpunten gaat overigens op afstand via de betreffende backoffice via het OCPP-commando (Open Charge Point Protocol) UpdateFirmware.

Inderdaad het gevaar wordt overdreven, evenals de functionaliteit van een laadpaal overigens. In feite is het niet veel
meer dan een lichtnetaansluiting met een groot relais erin, wat door de auto bekrachtigd kan worden als die geladen
wil worden.

Er is overigens niet altijd sprake van een backoffice. Er zijn ook palen (we hebben er 2 van "Mennekes") die alleen
pasjes supporten om de lading te starten en die verder niks rapporteren ofzo. Die kun je gebruiken als je op eigen
terrein een laadpaal wilt neerzetten die je uit eigen stroomvoorziening voedt en die alleen bedoeld is om je eigen
auto(s) op te laden. Dan heb je die hele backoffice niet nodig en ben je veel goedkoper uit dan wanneer je die wel
hebt. Je gebruikt die pasjes dan alleen om te voorkomen dat anderen hun auto kunnen laden uit jouw paal, bijv als
die bij een parkeerplaats voor je deur staat waar in principe iedereen op kan komen. Je hebt geen behoefte aan
"afrekenen" dus heb je dan die backoffice ook niet nodig. De paal houdt wellicht nog info bij mbt welke pas hoe lang
heeft geladen, maar dat is het dan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.