Schneider Electric corrige 13 vulnérabilités affectant ses bornes de recharge EVlink

  • FrançaisFrançais



  • Schneider Electric, une société de gestion de l’énergie et d’automatisation, aurait corrigé 13 vulnérabilités critiques dans sa gamme de produits EVlink. La gamme de produits EV est associée aux véhicules électriques et propose des bornes/stations de recharge pour les propriétés privées, les parkings semi-publics et la recharge sur voirie. Parlant de la criticité des vulnérabilités découvertes, Schneider Electric a déclaré que l’exploitation de ces vulnérabilités « pourrait entraîner des attaques par déni de service, qui pourraient (en outre) entraîner une utilisation non autorisée de la borne de recharge, des interruptions de service, un défaut d’envoi des enregistrements de données de recharge au système de supervision et la modification et la divulgation de la configuration de la borne de recharge. »

    Vulnérabilités de Schneider Electric et produits concernés

    Au total, Schneider Electric a corrigé 13 défauts, dont Troiscritique“, huithaute” et deuxmoyen» vulnérabilités de gravité. Schneider Electric a ajouté que ces vulnérabilités ne pouvaient être exploitées par les acteurs de la menace que de deux manières :

    1. Accès physique aux ports de communication internes de la borne qui ne peut être obtenu qu’en retirant l’ensemble du boîtier, ou,
    2. Si les bornes sont directement connectées à internet ou au réseau du système de supervision de la borne (pour une exploitation à distance)

    le Trois les vulnérabilités les plus critiques et leurs scores CVE et CVSS respectifs sont :

    1. Utilisation d’informations d’identification codées en dur

    ID CVE : CVE-2021-22707

    Score de base CVSS v3.1 9,4 | Critique

    CWE-798 : Cette vulnérabilité pourrait potentiellement permettre à un attaquant d’émettre des commandes non autorisées vers le serveur Web de la borne de recharge avec des privilèges administratifs.

    1. Utilisation d’un mot de passe codé en dur

    ID CVE : CVE-2021-22729

    Score de base CVSS v3.1 9,4 | Critique

    CWE-259 : Cette vulnérabilité pourrait potentiellement permettre à un attaquant d’obtenir des privilèges administratifs non autorisés lors de l’accès au serveur Web de la borne de recharge.

    1. Utilisation d’informations d’identification codées en dur

    ID CVE : CVE-2021-22730

    Score de base CVSS v3.1 9,4 | Critique

    CWE-798 : Cette vulnérabilité pourrait potentiellement permettre à un attaquant d’obtenir des privilèges administratifs non autorisés lors de l’accès au serveur Web de la borne de recharge.

    Les autres vulnérabilités « élevées » et « moyennes » sont :

    • CVE-2021-22706 – Neutralisation incorrecte de l’entrée lors de la génération de pages Web (« Cross-site Scripting »
    • CVE-2021-22708 – Vérification incorrecte de la signature cryptographique
    • CVE-2021-22721 – Neutralisation incorrecte de l’entrée lors de la génération de pages Web (‘Scriptage intersites stocké’)
    • CVE-2021-22723 – Neutralisation incorrecte de l’entrée lors de la génération de pages Web (« Cross-Site Scripting ») par le biais de la contrefaçon de requêtes intersites (CSRF)
    • CVE-2021-22726 – Contrefaçon de requête côté serveur (SSRF)
    • CVE-2021-22727 – Entropie insuffisante
    • CVE-2021-22728 – Exposition d’informations
    • CVE-2021-22773 – Changement de mot de passe non vérifié
    • CVE-2021-22774 – Utilisation d’un hasch à usage unique sans sel

    Nouvelles connexes :

    Schneider Electric et Claroty forment un partenariat de cybersécurité

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *