施耐德修复旗下电动汽车充电桩EVLink Parking严重安全漏洞

从施耐德电气有限公司（Schneider Electric SA）于近日发布的一份 安全公告 来看，该公司旗下电动汽车充电桩产品EVLink Parking受到多个安全漏洞的影响，包括一个紧急（Critical）漏洞、一个高危（High）漏洞一个中危（Medium）漏洞。

这份安全公告指出，这三个安全漏洞影响到EVLink Parking v3.2.0-12_v1及之前的所有版本。具体漏洞细节如下：

• 第一个漏洞：CVE-2018-7800

CVSS:3.0评分：9.8（Critical）

漏洞描述：该漏洞属于一个硬编码凭证漏洞，允许攻击者获得对受影响设备的完全访问权限。

• 第二个漏洞：CVE-2018-7801

CVSS:3.0评分：8.8（High）

漏洞描述：该漏洞属于一个代码注入漏洞，允许攻击者通过远程执行代码来获取对系统最大权限的访问。

• 第三个漏洞： CVE-2018-7802

CVSS:3.0评分：6.4（Medium）

漏洞描述：该漏洞属于一个 SQL 注入漏洞，允许攻击者获得对Web接口的完全访问权限。

与此同时，施耐德电气在这份安全公告中也发布了下载软件更新的链接，并提供了一些漏洞缓解建议：

• 软件更新下载链接：https://www.schneider-electric.com/en/download/range/60850- EVlink%20Parking/?docTypeGroup=3541958-Software%2FFirmware&language=en_GBEnglish
• 为减轻上述漏洞带来的风险，客户可采用以下缓解措施：设置防火墙，阻止非授权用户的远程/外部访问。

此外，施耐德电气还给出了如下安全最佳实践：

• 将具有远程连接功能的设备或系统置于防火墙后面，并将它们与业务网络隔离；
• 阻止非授权用户访问工业控制系统（ICS）、控制器和外围设备；
• 所有的控制器都应放置在带锁的柜子里，并且不要让它们一直处于程序模式；
• 所有的编程软件也都应放置在带锁的柜子里，除了必须要连接的网络之外，永远不要连接其他任何网络；
• 在使用CD、USB驱动器等储存设备与隔离设备或系统进行数据交换时，都应事先进行病毒扫描；
• 在不能确保安全的情况下，不要将隔离设备或系统与其他网络中的笔记本电脑进行连接；
• 确保隔离设备或系统无法直接通过互联网访问；
• 当需要远程访问时，请使用安全的方法。比如，虚拟专用网络（VPN）。另外，还应该认识到VPN也可能存在漏洞，因此应该随时更新至可用的最新版本。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。