Конечные точки WebSocket не имеют надлежащих механизмов аутентификации, что позволяет злоумышленникам выполнять несанкционированную имитацию станции и манипулировать данными, отправленными на серверную часть. Злоумышленник, не прошедший проверку подлинности, может подключиться к конечной точке OCPP WebSocket, используя известный или обнаруженный идентификатор зарядной станции, а затем выдавать или получать команды OCPP в качестве законного зарядного устройства. Поскольку аутентификация не требуется, это может привести к повышению привилегий, несанкционированному управлению инфраструктурой зарядки и повреждению данных сети зарядки, передаваемых на серверную часть.
Показать оригинальное описание (EN)
WebSocket endpoints lack proper authentication mechanisms, enabling attackers to perform unauthorized station impersonation and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known or discovered charging station identifier, then issue or receive OCPP commands as a legitimate charger. Given that no authentication is required, this can lead to privilege escalation, unauthorized control of charging infrastructure, and corruption of charging network data reported to the backend.
Характеристики атаки
Последствия
Строка CVSS v4.0