Статья Критические уязвимости аутентификации в OCPP 1.6J: угрозы для инфраструктуры электромобилей

devqp

Специалист
В протоколе Open Charge Point Protocol (OCPP) версии 1.6J, использующем WebSockets для связи между зарядными станциями и системами управления (CSMS), обнаружены критические уязвимости аутентификации. Актуальная версия стандарта — OCPP 2.0.1.

Основная проблема: CSMS-провайдеры используют только идентификатор зарядной станции для аутентификации, что позволяет злоумышленнику:
1. Инициировать DoS-атаку путём установки параллельного WebSocket-соединения, приводящего к разрыву легитимной сессии
2. Перехватывать конфиденциальные данные (персональная информация водителей, платежные реквизиты, учетные данные CSMS) через подмену активного соединения

Механизм эксплуатации: При установке нового соединения с тем же идентификатором:
- CSMS либо разрывает оригинальную сессию (сценарий DoS)
- Либо поддерживает оба соединения, перенаправляя ответы на поддельный канал

Риски актуальны для всех систем, использующих устаревшую версию OCPP 1.6J без дополнительных механизмов аутентификации. Рекомендуется переход на OCPP 2.0.1 с улучшенной моделью безопасности.

Источник: https://thehackernews.com/2023/02/is-your-ev-charging-station-safe-new.html
 
Похожие темы
Admin Интересно Trend Micro устранила критические уязвимости в своих продуктах. Новости в сети 0
Admin Интересно Imperva обнаружила критические уязвимости в популярной ИИ-платформе Dify. Новости в сети 0
Admin Интересно Обнаружены критические уязвимости в библиотеке vm2 для Node.js. Новости в сети 0
Admin Интересно Progress устранила критические уязвимости в MOVEit Automation. Новости в сети 0
Admin Интересно Cisco устранила критические уязвимости в IMC и SSM. Новости в сети 0
Admin Интересно Ubiquiti устраняет критические уязвимости в UniFi Network Application. Новости в сети 0
Admin Интересно Обнаружены критические уязвимости в IP KVM устройствах, позволяющие получить доступ к системе. Новости в сети 0
Admin Интересно Обнаружены критические уязвимости в платформе автоматизации n8n. Новости в сети 0
Admin Интересно CISA добавила две критические уязвимости Hikvision и Rockwell Automation в каталог KEV. Новости в сети 0
Admin Интересно Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости? Новости в сети 0
Support81 Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах Новости в сети 0
Admin UFOLABSNEWS Ubiquiti выпустила критические обновления для устранения уязвимостей в UniFi. Новости в сети 0
Admin Интересно Microsoft выпустила исправления для 138 уязвимостей, включая критические ошибки в DNS и Netlogon. Новости в сети 0
Admin Интересно Права «бога» для хакеров. Российский исследователь нашел критические «дыры» в защите 30 версий Windows. Новости в сети 0
Denik Интересно Эксперты Microsoft нашли критические баги в роутерах Netgear Новости в сети 0
devqp Статья Уязвимости SIM-карт: четыре метода взлома и их последствия Уязвимости и взлом 0
devqp Статья Уязвимости генерации Unpredictable Number в EMV и методы извлечения ARQC Уязвимости и взлом 0
Admin UFOLABSNEWS Adobe выпустила критическое обновление для ColdFusion, устранив опасные уязвимости. Новости в сети 0
Admin UFOLABSNEWS Китайские хакеры атакуют университеты через уязвимости в почтовых серверах. Новости в сети 0
Admin UFOLABSNEWS Microsoft выпустила патч для уязвимости RoguePlanet в Defender. Новости в сети 0
Admin UFOLABSNEWS Хакеры используют уязвимости Roundcube для шпионажа за учёными. Новости в сети 0
Admin UFOLABSNEWS Один сосед с дроном может обесть десятки домов. История уязвимости в инверторах Hoymiles. Новости в сети 0
Admin UFOLABSNEWS CISA добавила четыре активно эксплуатируемые уязвимости Adobe, Joomla и Langflow в каталог KEV. Новости в сети 0
Admin UFOLABSNEWS Обнаружены уязвимости в файловой системе FatFs, используемой в миллионах устройств. Новости в сети 0
Admin UFOLABSNEWS Cisco подтвердила эксплуатацию уязвимости в Unified Communications Manager. Новости в сети 0
Admin UFOLABSNEWS Обзор недели: уязвимости в ядре Linux, новые угрозы с ИИ и вредоносные расширения. Новости в сети 0
Admin UFOLABSNEWS Опубликован PoC для критической уязвимости в библиотеке libssh2. Новости в сети 0
Admin UFOLABSNEWS Уязвимости Cordyceps в CI/CD угрожают более чем 300 репозиториям GitHub. Новости в сети 0
Admin UFOLABSNEWS Исследователи обнаружили уязвимости DifyTap в платформе Dify, которые могут раскрыть AI-чаты между пользователями. Новости в сети 0
Admin UFOLABSNEWS Уязвимости устаревшей инфраструктуры угрожают безопасности ИИ-агентов. Новости в сети 0
Admin Интересно Cisco выпустила обновления для активно эксплуатируемой уязвимости в SD-WAN Manager. Новости в сети 0
Admin Интересно Palo Alto Networks предупреждает об активной эксплуатации уязвимости в PAN-OS. Новости в сети 0
Admin Интересно Исследователи обнаружили уязвимости в ИИ-агенте OpenClaw. Новости в сети 0
Admin Интересно Китайский ботнет JDY активно использует новые уязвимости для атак на США. Новости в сети 0
Admin Интересно CISA добавила уязвимости Cisco, Chrome и Arista в каталог KEV из-за активной эксплуатации. Новости в сети 0
Admin Интересно Microsoft отказалась от преследования исследователей за уязвимости. Новости в сети 0
Admin Интересно Эксплуатация уязвимости в Ghost CMS привела к взлому более 700 сайтов. Новости в сети 0
Admin Интересно Обход ASLR, удалённое выполнение кода и 30 дней тишины. Что известно о новой уязвимости в nginx и почему детали пока засекречены. Новости в сети 0
Admin Интересно CISA добавила уязвимости Langflow и Trend Micro Apex One в каталог KEV. Новости в сети 0
Admin Интересно Microsoft выпустила исправление для уязвимости YellowKey в BitLocker. Новости в сети 0
Admin Интересно Выпущен PoC для уязвимости DirtyDecrypt в ядре Linux. Новости в сети 0
Admin Интересно Microsoft меняет логику работы браузера Edge из-за уязвимости в менеджере паролей. Новости в сети 0
Admin Интересно Обнаружены четыре уязвимости в OpenClaw, позволяющие красть данные и повышать привилегии. Новости в сети 0
Admin Интересно В стандартных функциях PHP для JPEG обнаружены уязвимости, связанные с раскрытием данных и переполнением буфера. Новости в сети 0
Admin Интересно Миллионы роутеров ipTIME подвержены критической уязвимости. Новости в сети 0
Admin Интересно Китайские хакеры атаковали азербайджанскую энергетическую компанию через уязвимости Microsoft Exchange. Новости в сети 0
Admin Интересно Обнаружены уязвимости в камерах китайского производителя, затрагивающие миллионы устройств. Новости в сети 0
Admin Интересно Хакер обнаружил уязвимости в 11 тысячах роботов Yarbo по всему миру. Новости в сети 0
Admin Интересно Google сообщает о первой кибератаке с использованием ИИ для разработки уязвимости. Новости в сети 0
Admin Интересно Хакеры впервые использовали ИИ для разработки уязвимости, обходящей двухфакторную аутентификацию. Новости в сети 0

Название темы