文章总结: XChargeC6充电桩存在CVE-2026-9039漏洞,其CCS2接口实为网络端口,SSH和Telnet服务暴露在所有接口上,默认凭证root:root。攻击者使用约130美元硬件插枪即可获取root权限,可实施窃电、篡改参数、横向移动至运营商网络等攻击。建议充电运营商和桩企加固前端接口安全,避免管理服务暴露。 综合评分: 88 文章分类: 漏洞分析,渗透测试,红队,IoT安全,内网渗透


”
CVE-2026-9039
电动汽车的充电口,本质上是一个网络端口。在XCharge C6充电桩上发现,SSH和Telnet服务暴露在所有网络接口上,默认凭证
root:root。一辆”恶意电动汽车”插枪就能瞬间获得充电桩的完全控制权,进而实施窃电,甚至造成物理损坏。
| 攻击场景 | 业务影响 | | — | — | | 车队级沦陷 | 在整个充电网络中植入后门 | | 运营商网络被渗透 | 通过充电桩骨干连接进行横向移动 | | 安全事故 | 篡改功率和散热参数 | | 供应链攻击 | 被攻破的充电桩感染后续接入的车辆 |
Executive Summary
The Overlooked Attack Surface
电动汽车充电行业已经建立起相对完善的安全标准。OCPP对充电桩与充电站管理系统之间的通信安全有明确规范:使用VPN或专用APN、采用OCPP安全配置文件2或更高版本、强制TLS双向认证等。在正确配置的情况下,这些措施确实能大幅提升管理通道的安全性。
但充电桩呢?
当整个行业都在忙着加固后端通信时,通过CCS2充电枪暴露出的攻击面却几乎无人测试。每次电动汽车接入充电桩,双方都会通过PLC在充电线上建立一条IP网络。这条网络本是为V2G协议设计的。但充电桩操作系统中的其他服务也在这些网络接口上监听。
Why This Matters
这意味着什么?被攻破的充电桩可以成为渗透充电运营商CPO私有网络的跳板。由于充电桩通常通过VPN或专用APN连接后端系统,攻击者一旦控制充电桩,就可能横向移动到后台办公系统、计费平台或其他关键基础设施。
XCharge C6充电桩在所有网络接口上暴露了SSH和Telnet,包括可从接入车辆访问的PLC接口。配合root用户那形同虚设的密码 root,任何能把充电枪插进去的人,都能立即获得最高权限。
#
What Can a Threat Actor Do?
一旦攻击者完全控制充电桩的直流控制板,以下几种主要攻击场景便浮出水面:
关闭散热系统→ 引发过热、起火等物理伤害
篡改功率参数→ 造成设备损坏或安全事故
伪造计量数据→ 实施”免费充电”等窃电行为
协调负载攻击→ 导致电网不稳定
感染后续接入车辆→ 将充电桩作为供应链攻击的跳板
The Attack Surface: CCS2 as a Network Interface
大多数人以为CCS2充电枪只是个电源接头。错了。它还是一个网络接口。
当车辆插上充电枪,桩与车会通过HomePlug Green PHY电力线通信技术在充电线缆上建立一条IPv6网络链路。这条网络本是为V2G充电协议准备的——但任何监听在所有接口上的服务,都会因此暴露。
核心逻辑:插入CCS2设备 → 获取IPv6地址 → 访问所有暴露的服务。
#
The Vulnerability: Exposed Administrative Services
在XCharge C6的DCB上发现了以下监听服务:
DCB拥有多个网络接口:
| 接口 | 用途 | 车辆是否可访问 | | — | — | — | | can0 | CAN总线(内部) | 否 | | eth0 | 管理网络 | 否 | | lo | 本地回环 | 否 | | qca0 | PLC调制解调器 – CCS2枪1 | 是 | | qca1 | PLC调制解调器 – CCS2枪2 | 是 |
当服务绑定到 0.0.0.0 或 [::] 时,它会在每一个网络接口上监听——包括:
- 可从接入车辆访问的CCS2(PLC)接口(qca0、qca1)
- 内部管理接口(eth0)
What Services Are Exposed?
| 服务 | 端口 | 用途 | 是否应该暴露给车辆? | | — | — | — | — | | SSH (Dropbear) | 22 | 远程管理 | 否 — 配置错误 | | Telnet (BusyBox) | 23 | 远程管理 | 否 — 配置错误 | | V2G (SECC) | 15118 | ISO 15118 / DIN 70121 充电协议 | 是 — 充电必需 |
#
#
Attack Walkthrough
攻击者需要具备CCS2兼容硬件,总成本约130美元:
CP控制能力—— 能将CP电压拉至9V/6V(约5-10美元)
PLC调制解调器—— 支持HomePlug Green PHY的设备,如QCA7000/QCA7005(约70美元)
迷你计算机—— 树莓派(约50美元)
物理接触—— 只需两根线连接到CCS2充电枪
充电桩的CCS2接口不是单纯的电源接头,而是一个可以直接接入设备内网的网络端口。当SSH和Telnet这样的管理服务监听在所有接口上,再配合出厂默认的弱密码,结果就是:任何拥有130美元硬件成本和一根充电枪的人,都能成为充电桩的”root用户”。
对于充电运营商和桩企而言,这不仅仅是配置失误,而是一个系统性的安全盲区——后端通信加固得再严密,如果前端的”充电口”敞开着,一切努力都将形同虚设。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全脉脉 zh1chu zh1chu《充电桩插枪直取root权限》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论