Конечные точки WebSocket не имеют надлежащих механизмов аутентификации, что позволяет
злоумышленники выполняют несанкционированную имитацию станции и манипулируют
данные отправляются на серверную часть. Злоумышленник, не прошедший проверку подлинности, может подключиться к
Конечная точка OCPP WebSocket, использующая известную или обнаруженную зарядную станцию.
идентификатор, а затем выдавать или получать команды OCPP в качестве законного зарядного устройства.
Учитывая, что аутентификация не требуется, это может привести к получению привилегий.
эскалация, несанкционированный контроль над зарядной инфраструктурой и
повреждение данных сети зарядки, отправленное на серверную часть.
Показать оригинальное описание (EN)
WebSocket endpoints lack proper authentication mechanisms, enabling attackers to perform unauthorized station impersonation and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known or discovered charging station identifier, then issue or receive OCPP commands as a legitimate charger. Given that no authentication is required, this can lead to privilege escalation, unauthorized control of charging infrastructure, and corruption of charging network data reported to the backend.
Характеристики атаки
Последствия
Строка CVSS v3.1