充电桩插枪直取root权限

admin 2026-07-10 05:17:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: XChargeC6充电桩存在CVE-2026-9039漏洞,其CCS2接口实为网络端口,SSH和Telnet服务暴露在所有接口上,默认凭证root:root。攻击者使用约130美元硬件插枪即可获取root权限,可实施窃电、篡改参数、横向移动至运营商网络等攻击。建议充电运营商和桩企加固前端接口安全,避免管理服务暴露。 综合评分: 88 文章分类: 漏洞分析,渗透测试,红队,IoT安全,内网渗透


CVE-2026-9039

电动汽车的充电口,本质上是一个网络端口。在XCharge C6充电桩上发现,SSH和Telnet服务暴露在所有网络接口上,默认凭证 root:root。一辆”恶意电动汽车”插枪就能瞬间获得充电桩的完全控制权,进而实施窃电,甚至造成物理损坏。

| 攻击场景 | 业务影响 | | — | — | | 车队级沦陷 | 在整个充电网络中植入后门 | | 运营商网络被渗透 | 通过充电桩骨干连接进行横向移动 | | 安全事故 | 篡改功率和散热参数 | | 供应链攻击 | 被攻破的充电桩感染后续接入的车辆 |

Executive Summary

The Overlooked Attack Surface

电动汽车充电行业已经建立起相对完善的安全标准。OCPP对充电桩与充电站管理系统之间的通信安全有明确规范:使用VPN或专用APN、采用OCPP安全配置文件2或更高版本、强制TLS双向认证等。在正确配置的情况下,这些措施确实能大幅提升管理通道的安全性。

但充电桩呢?

当整个行业都在忙着加固后端通信时,通过CCS2充电枪暴露出的攻击面却几乎无人测试。每次电动汽车接入充电桩,双方都会通过PLC在充电线上建立一条IP网络。这条网络本是为V2G协议设计的。但充电桩操作系统中的其他服务也在这些网络接口上监听。

Why This Matters

这意味着什么?被攻破的充电桩可以成为渗透充电运营商CPO私有网络的跳板。由于充电桩通常通过VPN或专用APN连接后端系统,攻击者一旦控制充电桩,就可能横向移动到后台办公系统、计费平台或其他关键基础设施。

XCharge C6充电桩在所有网络接口上暴露了SSH和Telnet,包括可从接入车辆访问的PLC接口。配合root用户那形同虚设的密码 root,任何能把充电枪插进去的人,都能立即获得最高权限。

#

What Can a Threat Actor Do?

一旦攻击者完全控制充电桩的直流控制板,以下几种主要攻击场景便浮出水面:

关闭散热系统→ 引发过热、起火等物理伤害

篡改功率参数→ 造成设备损坏或安全事故

伪造计量数据→ 实施”免费充电”等窃电行为

协调负载攻击→ 导致电网不稳定

感染后续接入车辆→ 将充电桩作为供应链攻击的跳板


The Attack Surface: CCS2 as a Network Interface

大多数人以为CCS2充电枪只是个电源接头。错了。它还是一个网络接口。

当车辆插上充电枪,桩与车会通过HomePlug Green PHY电力线通信技术在充电线缆上建立一条IPv6网络链路。这条网络本是为V2G充电协议准备的——但任何监听在所有接口上的服务,都会因此暴露。

核心逻辑:插入CCS2设备 → 获取IPv6地址 → 访问所有暴露的服务。


#

The Vulnerability: Exposed Administrative Services

在XCharge C6的DCB上发现了以下监听服务:

DCB拥有多个网络接口:

| 接口 | 用途 | 车辆是否可访问 | | — | — | — | | can0 | CAN总线(内部) | 否 | | eth0 | 管理网络 | 否 | | lo | 本地回环 | 否 | | qca0 | PLC调制解调器 – CCS2枪1 | | | qca1 | PLC调制解调器 – CCS2枪2 | |

当服务绑定到 0.0.0.0 或 [::] 时,它会在每一个网络接口上监听——包括:

  • 可从接入车辆访问的CCS2(PLC)接口(qca0、qca1)
  • 内部管理接口(eth0)

What Services Are Exposed?

| 服务 | 端口 | 用途 | 是否应该暴露给车辆? | | — | — | — | — | | SSH (Dropbear) | 22 | 远程管理 | — 配置错误 | | Telnet (BusyBox) | 23 | 远程管理 | — 配置错误 | | V2G (SECC) | 15118 | ISO 15118 / DIN 70121 充电协议 | 是 — 充电必需 |


#

#

Attack Walkthrough

攻击者需要具备CCS2兼容硬件,总成本约130美元:

CP控制能力—— 能将CP电压拉至9V/6V(约5-10美元)

PLC调制解调器—— 支持HomePlug Green PHY的设备,如QCA7000/QCA7005(约70美元)

迷你计算机—— 树莓派(约50美元)

物理接触—— 只需两根线连接到CCS2充电枪

充电桩的CCS2接口不是单纯的电源接头,而是一个可以直接接入设备内网的网络端口。当SSH和Telnet这样的管理服务监听在所有接口上,再配合出厂默认的弱密码,结果就是:任何拥有130美元硬件成本和一根充电枪的人,都能成为充电桩的”root用户”。

对于充电运营商和桩企而言,这不仅仅是配置失误,而是一个系统性的安全盲区——后端通信加固得再严密,如果前端的”充电口”敞开着,一切努力都将形同虚设。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全脉脉 zh1chu zh1chu《充电桩插枪直取root权限》

评论:0   参与:  0