Laadpalen iocharger konden overgenomen worden via zeventien zerodays

Beveiligingsonderzoekers hebben zeventien zerodays gevonden in laadpalen van fabrikant iocharger. Het was mogelijk om via de kwetsbaarheden alle laadpalen van de fabrikant over te nemen. Zestien kwetsbaarheden zijn inmiddels verholpen.

De kwetsbaarheden werden gevonden door Harm van den Brink van het Dutch Institute of Vulnerability Disclosure en beveiligingsonderzoeker Wilco van Beijnum. Zij ontdekten dat de Home- en Pedestal-modellen van iocharger kwetsbaar waren voor aanvallen, schrijft het DIVD op zijn website. Dezelfde kwetsbare firmware wordt echter in alle AC-modellen van iocharger gebruikt, waaronder de modellen die worden verkocht onder andere merknamen. De onderzoekers konden geen inzicht krijgen in welke andere merken dat zijn.

De zestien verholpen problemen zijn in overleg met de fabrikant gepubliceerd. Het gaat onder meer om authenticated command injections, waarmee aanvallers eigen commando's kunnen uitvoeren op een besturingssysteem. Die kunnen ertoe leiden dat de aanvaller op afstand eigen code kan uitvoeren op rootniveau. Ook zijn er kwetsbaarheden gevonden waarmee bijvoorbeeld back-ups gemanipuleerd kunnen worden en eigen firmwarebestanden gemaakt en uitgevoerd kunnen worden. Verder bleken er standaard inloggegevens in plaintext in de firmware te staan.

Wat de zeventiende kwetsbaarheid is, is niet bekendgemaakt. De fabrikant werkt nog aan een oplossing voor dit probleem. Dertien van de fouten zijn inmiddels verholpen met firmwareversie 24120701; versie 25010801 lost er nog eens drie op. De firmware is te downloaden via de distributeurs van iocharger-producten.

Het DIVD raadt aan om iocharger-apparatuur niet bloot te stellen aan onbetrouwbare netwerken, zoals het internet of gastnetwerken. "Is een internetverbinding vereist, zet het apparaat dan achter een natgateway en blokkeer al het inkomende verkeer", zegt het DIVD. Verder luidt het advies om de wachtwoorden van het apparaat te wijzigen, als dat nog niet is gebeurd.

Reacties (26)

Thomas18GT 9 januari 2025 14:04

Misschien ben ik dom maar wat kan je overnemen aan een laadpaal?

Dankjewel iedereen hieronder, weer wat bijgeleerd

[Reactie gewijzigd door Thomas18GT op 9 januari 2025 14:25]

multikoe

Laadpaal

@Thomas18GT • 9 januari 2025 14:22

Je zou alle laadpalen in een hele wijk kunnen in één keer uit kunnen zetten en even later allemaal weer aan. Ik denk dat er dan wel wat klapt.
Je kunt ook 's nachts om 01:00 alle palen permanent uitschakelen. Dan komen heel veel mensen de volgende ochtend tot de ontdekking dat ze niet naar kantoor kunnen.
Het kan onderdeel zijn van een groter plan om chaos, onrust en angst te veroorzaken. Mensen raken al volledig in de stress bij de gedachte dat iemand hun spullen kan controleren en als dat dan ook gebeurt dan hoeven er niet eens grote consequenties aan te zitten om toch je doel (angst zaaien) te bereiken.
Ook voer op het bordje van de energietransitie-haters.

locke960 @multikoe • 9 januari 2025 15:18

Je denkt te klein. Denk "alle laadpalen in heel Nederland" en "herhalend aan/uit met het slechts mogelijke interval voor de stabilisatie capaciteit van het het netwerk".

Bux666 @multikoe • 9 januari 2025 16:19

Je kunt ook 's nachts om 01:00 alle palen permanent uitschakelen. Dan komen heel veel mensen de volgende ochtend tot de ontdekking dat ze niet naar kantoor kunnen.

Wat een onzin! Ten eerste rijden de meeste mensen niet elektrisch. Ten tweede zijn van degene die dan wel aan een laadpaal stonden die niet oplaadde echt niet bij iedereen de accu's leeg. Zeker niet als ze al een paar uur (tot 01:00 uur) geladen hebben.

Het blijft bijzonder dat veel EV-rijders elke dag laden, ook al hebben ze nog 80% of 60% capaciteit. Ik ken geen enkele brandstofrijder die na elke rit gaat tanken.

multikoe

Laadpaal

@Bux666 • 9 januari 2025 17:03

Prima observaties maar wel erg gericht op het nu en niet naar de toekomst. De kern van mijn post staat nog steeds overeind: het doel van dit soort acties is vaak het veroorzaken van chaos en angst. Vooral dat laatste helpt de politieke partijen aan de randen van het spectrum, die drijven daar op. En we hebben gezien aan het vluchtelingen-verhaal van de PVV dat aantallen helemaal niet belangrijk zijn als je de angst maar voldoende aanwakkert. Tot zover de politiek

Veel (oei, voorzichtig zijn hier) eigenaren van EV's hebben geleerd dat het handig is om te laden wanneer je kan, niet wanneer je moet, ondanks de toegenomen actieradius van de nieuwe EV's. Zeker als je zelf een laadpaal hebt, is het voor je gemoedsrust en voor het gemak hartstikke ontzettend gemakkelijk als je je auto gewoon elke avond aan de laadpaal hangt. Waarom zou je dat niet doen?

deSenna24 @Thomas18GT • 9 januari 2025 14:11

Tegenwoordig hangt alles op het netwerk, als er in de software van de laadpaal dus een SSH bv. staat zou je die kunnen aanzetten en zo verder hoppen in het netwerk. Je hebt bijvoorbeeld ook de logingegevens in plaintext, die kun je ook overal proberen. Je kan het zo gek maar niet bedenken. Dat is ook een reden dat er vaak aangeraden wordt om zulke devices in het netwerk af te schermen (VLANs bijvoorbeeld), maar om dit voor elk device apart te doen? En wat met wireless? Elk device op een aparte VLAN zie ik nog niet veel gebruikers doen.

themadone @deSenna24 • 9 januari 2025 18:55

Wie hebben op de zaak wel de laadpalen in eigen vlan zitten precies om deze redenen, sub vlan van het guest network. Even verduidelijken, alle laadpalen dus in 1 vlan. Niet 1 vlan per paal.

Zelfs thuis kan mijn unifi best wat verschillende netwerkjes inclusief ssid in de lucht houden dus met een enkele laadpaal had het ook gekunt.

In de manufacturing is het tegenwoordig volgens mij de standaard om alle IOT/Phone home meuk zo ver mogelijk weg te houden van andere systemen. Geloof dat we op 400 man zeker 40 vlans hebben draaien met op zijn minst switchlevel acl's en voor dit soort laadpaal meuk aparte firewall op separaat lijntje.

[Reactie gewijzigd door themadone op 9 januari 2025 18:55]

Verwijderd @Thomas18GT • 9 januari 2025 14:08

Ik vermoed dan eigenlijk het stukje betaling en authorisatie wat er tussen zit, anders kan ik zelf ook niet echt iets bedenken inderdaad.

Zeker omdat een 'laadpaal' eigenlijk helemaal geen lader is, maar in feite gewoon een ingewikkeld stopcontact. Ja hij moet authoriseren dat je hebt betaald en hij moet onderhandelen met de auto over het te leveren vermogen, maar uiteindelijk zit de lader nog altijd in de auto.

edit: met even wat langer nadenken, uiteindelijk kun je natuurlijk vooral ongemak veroorzaken. Zeker buitenlandse inmenging en/of groepen die radicaal tegen EV's zijn zouden er denk ik best geld voor over hebben om ervoor te zorgen dat noodvoertuigen (in de context van buitenlandse inmenging) of auto's (in geval van anti-EV mensen) niet kunnen opladen.

[Reactie gewijzigd door Verwijderd op 9 januari 2025 14:11]

deMercer

@Thomas18GT • 9 januari 2025 14:15

Denk bijv. aan het wijzigen van instellingen als maximale laadstroom, laadmodi of laadtijden.

erikloman @Thomas18GT • 9 januari 2025 14:26

Aangezien aanvallers eigen code op deze laadpalen kunnen uitvoeren, is het ook mogelijk om een remote access trojan (RAT) te draaien. Laadpalen zijn vaak verbonden met het lokale netwerk, waardoor je via de laadpaal toegang zou kunnen krijgen tot andere systemen binnen dat netwerk. Denk bijvoorbeeld aan administratieve systemen of file servers waarop documenten staan. Deze documenten kun je eerst wegsluizen (data exfiltration) en daarna versleutelen (ransomware) om vervolgens losgeld te eisen. Daarnaast kun je de laadpaal misbruiken door deze in te zetten als onderdeel van een DDoS-aanval op andere systemen op internet.

The-Source @Thomas18GT • 9 januari 2025 14:37

Mocht bijvoorbeeld laadvermogen aangepast kunnen worden dan zou je het volgende kunnen veroorzaken.
Veel particulieren met een laadpaal hebben een aansluiting van 3x25A = 17.6kW (75a x 235v gedaan)
Meeste van deze mensen zullen dan bijvoorbeeld de paal op 11kW max hebben laten instellen terwijl die vaak ook 20kW kan doen.
Daarnaast hebben ze ook vaak loadbalancing actief waarbij de paal naast zijn minimum ingestelde waarde maximaal 11kW zal afnemen op basis van huidig huis verbruik.
Stel je haalt die beperkingen weg, dus altijd 20kW laden ongeacht huis verbruik. Dan is de kans zeer groot dat er hoofdzekeringen sneuvelen.

Nu is bijvoorbeeld in mijn situatie de paal op 11kW afgesteld inclusief loadbalancing maar zit aangesloten op een 20A automaat. (11kW = 3x 16A). Mocht de paal 20kW gaan afnemen dan is dat 3x 28A. Een 20A automaat zal hierop nooit direct op afslaan want het is namelijk geen sluiting. Maar door temperatuur ontwikkeling zal het wel later kunnen gaan afslaan, zo ook je hoofdzekeringen maar welke er als eerste gaat...
Bij slechte aansluitingen (fysieke bedrading) heb je ook kans dat dit gevolgen heeft voor brandveiligheid maar eerlijk gezegd dan zou de 11kW opstelling ook niet veilig zijn geweest

Wolly @The-Source • 9 januari 2025 17:46

Er zijn hier bijna geen auto’s die op 20kW kunnen laden.

kuurtjes 9 januari 2025 14:43

Als een beveiligingsonderzoeker een lek ontdekt is dat nog niet direct een zeroday.

Verwijderd @kuurtjes • 9 januari 2025 15:15

Een Zero Day is wel typisch zo'n term waar volgens mij geen 100% sluitende definitie voor is.

Onze overheid definieert het bijvoorbeeld als een exploit waarvan een PoC eerder beschikbaar is dan dat de ontwikkelaar er van wist (https://www.digitaltrustc...dvies/wat-is-een-zero-day). Die definitie zie ik vaker, en met die definite valt dit wel degelijk onder een zero day.

Volgens mij is dat overigens ook de definitie die Tweakers hanteert, en daarbij dan aangeeft wanneer een exploit al actief wordt misbruikt.

[Reactie gewijzigd door Verwijderd op 10 januari 2025 10:40]

Wafeltje @kuurtjes • 9 januari 2025 16:26

Van wikipedia:
A zero-day is a vulnerability in software or hardware that is typically unknown to the vendor and for which no patch or other fix is available.

Dus alles wat ze ontdekken, wat nog niet eerder ontdekt is, is per definitie een zero-day vulnerability.

Op het moment van publiceren van dit nieuwsbericht door Tweakers, zijn het 17 bugs, waarvan er nog 1 de status zero-day heeft (welliswaar bekend bij de vendor, maar er is nog geen patch). De titel spreekt echter in de verleden tijd, waardoor het weer correct is.

gimbal @_eXistenZ_ • 9 januari 2025 13:50

Je gaat ze natuurlijk ook niet merken alleen maar omdat ze in de binaries zitten, je merkt het alleen als iemand er ook echt actief misbruik van maakt. Daarvoor moet wel eerst iemand interesse hebben om dat te doen.

sebasmac @_eXistenZ_ • 9 januari 2025 13:51

Wat een kinderachtige reactie weer. Waarom is het toch zo dat zodra het over elektrische auto’s gaat, er meteen twee kampen ontstaan? En het zijn vaak juist de mensen die waarschijnlijk nog nooit elektrisch gereden hebben die het hardste schreeuwen. Ik vond het vroeger echt leuk om hier verschillende meningen te lezen, maar tegenwoordig lijkt het vooral een wedstrijdje schreeuwen te zijn. Jammer dat de kwaliteit hier op Tweakers zo achteruitgaat.

Mayonaise @sebasmac • 9 januari 2025 14:00

Ik blijf het grappig vinden om opmerkingen te lezen over bv de laadklep niet opengaat tijdens vriesweer. "Daar heb ik geen last van met mijn diesel". Het is een klep die je in alle auto's hebt. De brandstofklep van mijn oude Volvo kon soms ook wel goed dichtvriezen.

Het is precies alsof hun verstand op hol slaat als het om onderwerpen gaat waar ze tegen zijn.

[Reactie gewijzigd door Mayonaise op 9 januari 2025 14:01]

DigitalExorcist @Mayonaise • 9 januari 2025 14:30

Je zal toch maar elke keer moeten omrijden naar een tankstation.. of de verkeerde brandstof in je tank gieten... of je dieseltje een halve seconde te kort laten voorgloeien zoals vroeger, mag ie gelijk weer naar de garage (ja Opel Corsa 1999 I'm looking at you), of - wat helemaal hilarisch is natuurlijk - je staat bovenaan een berg in je skivakantie-gebied met een 80% volle tank en beneden is je tank nog maar 70% vol in plaats van 100% vol, bijgeladen door regeneratie.

Of, gewoon, €2,10 per liter brandstof betalen terwijl je het praktisch gratis via je zonnepanelen zou kunnen doen.

[Reactie gewijzigd door DigitalExorcist op 9 januari 2025 14:31]

Arfman @sebasmac • 9 januari 2025 14:38

Niet alleen Tweakers. De hele wereld vind het nodig om in twee kampen verdeeld te raken zodra er iets gepost wordt, en alles wordt politiek gemaakt met Amerika voorop.

themadone @sebasmac • 9 januari 2025 18:57

Ja jammer is dat, vooral als je beiden hebt zoals ik, want ik hoor helemaal nergens meer bij

Jacco011

@DigitalExorcist • 9 januari 2025 13:57

Geregistreerd op 28 februari 2004. Persoon zou dus minstens 21 moeten zijn.

E-Flex @Jacco011 • 9 januari 2025 14:25

Fysiek wel, maar

DigitalExorcist @Jacco011 • 9 januari 2025 14:27

Wil niet zeggen dat die persoon dan verstand van auto's noch een rijbewijs heeft.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: