從施耐德電氣有限公司(Schneider Electric SA)於近日發佈的一份安全公告來看,該公司旗下電動汽車充電樁產品EVLink Parking受到多個安全漏洞的影響,包括一個緊急(Critical)漏洞、一個高危(High)漏洞一箇中危(Medium)漏洞。
這份安全公告指出,這三個安全漏洞影響到EVLink Parking v3.2.0-12_v1及之前的所有版本。具體漏洞細節如下:
第一個漏洞:CVE-2018-7800
CVSS:3.0評分:9.8(Critical)
漏洞描述:該漏洞屬於一個硬編碼憑證漏洞,允許***者獲得對受影響設備的完全訪問權限。
第二個漏洞:CVE-2018-7801
CVSS:3.0評分:8.8(High)
漏洞描述:該漏洞屬於一個代碼注入漏洞,允許***者通過遠程執行代碼來獲取對系統最大權限的訪問。
第三個漏洞:CVE-2018-7802
CVSS:3.0評分:6.4(Medium)
漏洞描述:該漏洞屬於一個SQL注入漏洞,允許***者獲得對Web接口的完全訪問權限。
與此同時,施耐德電氣在這份安全公告中也發佈了下載軟件更新的鏈接,並提供了一些漏洞緩解建議:
軟件更新下載鏈接:hxxps://www.schneider-electric.com/en/download/range/60850- EVlink%20Parking/?docTypeGroup=3541958-Software%2FFirmware&language=en_GBEnglish
爲減輕上述漏洞帶來的風險,客戶可採用以下緩解措施:設置防火牆,阻止非授權用戶的遠程/外部訪問。
此外,施耐德電氣還給出瞭如下安全最佳實踐:
將具有遠程連接功能的設備或系統置於防火牆後面,並將它們與業務網絡隔離;
阻止非授權用戶訪問工業控制系統(ICS)、控制器和外圍設備;
所有的控制器都應放置在帶鎖的櫃子裏,並且不要讓它們一直處於程序模式;
所有的編程軟件也都應放置在帶鎖的櫃子裏,除了必須要連接的網絡之外,永遠不要連接其他任何網絡;
在使用CD、USB驅動器等儲存設備與隔離設備或系統進行數據交換時,都應事先進行病毒掃描;
在不能確保安全的情況下,不要將隔離設備或系統與其他網絡中的筆記本電腦進行連接;
確保隔離設備或系統無法直接通過互聯網訪問;
當需要遠程訪問時,請使用安全的方法。比如,虛擬專用網絡(×××)。另外,還應該認識到×××也可能存在漏洞,因此應該隨時更新至可用的最新版本。