ยักษ์ใหญ่ด้านพลังงานและอุตสาหกรรมยานยนต์ Schneider Electric ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ระดับวิกฤติในอุปกรณ์ที่ชื่อ EVLink Parking ซึ่งถูกนำมาใช้ในสถานีชาร์จไฟสำหรับรถยนต์ขับเคลื่อนพลังงานไฟฟ้าสาเหตุมาจากบั๊กที่มีรหัสผ่านแบบฝัง (Hard-coded) บนอุปกรณ์ที่แฮ็กเกอร์สามารถใช้เข้าถึงระบบได้
อุปกรณ์ที่ได้รับผลกระทบคือ EVLink Parking แบบตั้งกับพื้นเวอร์ชั่น 3.2.0-12_v1 หรือเก่ากว่า ซึ่งช่องโหว่นี้ (CVE-2018-7800) เป็นหนึ่งในสามรายการที่ทาง Schneider ออกแพทช์มาเมื่อช่วงสัปดาห์ก่อน นอกจากช่องโหว่ที่เปิดให้ฝังโค้ด (CVE-2018-7801) และบั๊ก SQL Injection (CVE-2018-7802)
สถานี EVLink Parking พบได้ทั่วไปตามสำนักงาน, โรงแรม, ซุปเปอร์มาร์เก็ต, และจุดพักรถต่างๆ ซึ่งแต่ละสถานีจะต้องติดตั้งแพทช์ด้วยตนเอง แต่บริษัทก็แนะนำแนวทางเพิ่มเติมที่ช่วยลดความเสี่ยงไว้ด้วยเช่น “การติดตั้งไฟร์วอลล์เพื่อปิดกั้นการเข้าถึงจากภายนอกและจากระยะไกลยกเว้นผู้ใช้ที่ได้รับอนุญาต”
ยังไม่เป็นที่แน่ชัดว่าช่องโหว่นี้จะสร้างผลกระทบกับสถานีชาร์จไฟมากน้อยขนาดไหน เนื่องจากอุปกรณ์นี้เป็นแค่ส่วนหนึ่งของโซลูชั่นเครือข่าย EVLink Parking ที่ประกอบด้วยสถานีชาร์จ, พอทัลออนไลน์ EVLink Insights, และบริการบำรุงรักษายานพาหนะ ซึ่งทั้งหมดนี้เชื่อมต่อกับระบบจากส่วนกลางผ่านคลาวด์เพื่อจัดการจากระยะไกล
ที่มา : Threatpost
