Agentia de Securitate Cibernetica a SUA (CISA) a emis o alerta referitoare la o vulnerabilitate critica care afecteaza controlerul de incarcare XCharge C6, utilizat in infrastructura de incarcare a vehiculelor electrice. Cu un scor CVSS de 9.8, vulnerabilitatea permite unui atacator sa preia controlul complet al dispozitivului.
Ce s-a descoperit?
Sunt vizate trei tipuri de vulnerabilitati in versiunile curente ale XCharge C6. Prima, CVE-2026-9037, consta intr-un mecanism de actualizare a firmware-ului care nu verifica integritatea codului descarcat. Celelalte doua includ un stack-based buffer overflow si initializarea unei resurse cu o configuratie implicita nesigura. Exploatarea cu succes poate oferi atacatorului drepturi de administrator sau capacitatea de a executa cod arbitrar pe dispozitiv.
Cum functioneaza atacul?
Un atacator poate trimite o actualizare de firmware falsificata catre controler, care va fi instalata fara verificare. De asemenea, buffer overflow-ul permite suprascrierea memoriei si executarea de cod. Combinate, aceste defecte fac sistemul vulnerabil la preluarea totala de la distanta.
Ce versiuni sunt afectate?
Alerta CISA mentioneaza ca toate versiunile XCharge C6 sunt potential vulnerabile. Producatorul, o companie cu sediul in Statele Unite, nu a publicat inca un patch oficial. Sistemele sunt utilizate la nivel global, inclusiv in sectorul transporturilor.
Concluzie
Utilizatorii statiilor de incarcare XCharge C6 ar trebui sa ramana atenti la actualizarile de securitate si sa limiteze expunerea dispozitivelor la retele nesigure. Pana la remediere, riscul de compromitere ramane ridicat.