Vulnerabilidad en la tecnología de comunicación de línea eléctrica (PLC) HomePlug Green PHY (HPGP) en vehículos eléctricos (EV) (CVE-2022-0878)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
12/04/2022
Última modificación:
27/04/2022
Descripción
Los vehículos eléctricos (EV) usan comúnmente el Sistema de Carga Combinada (CCS) para la carga rápida de CC. Para intercambiar mensajes importantes como el estado de carga (SoC) con el equipo de suministro del vehículo eléctrico (EVSE), el CCS usa un enlace IP de gran ancho de banda proporcionado por la tecnología de comunicación de línea eléctrica (PLC) HomePlug Green PHY (HPGP). El ataque interrumpe la comunicación de control necesaria entre el vehículo y el cargador, causando la interrupción de las sesiones de carga. El ataque puede llevarse a cabo de forma inalámbrica a distancia usando interferencias electromagnéticas, lo que permite interrumpir simultáneamente vehículos individuales o flotas enteras. Además, el ataque puede montarse con hardware de radio disponible en el mercado y con unos conocimientos técnicos mínimos. Con un presupuesto de potencia de 1 W, el ataque presenta éxito a unos 47 m de distancia. El comportamiento explotado es una parte necesaria de las normas HomePlug Green PHY, DIN 70121 e ISO 15118 y todas las implementaciones conocidas lo presentan. Además de los coches eléctricos, Brokenwire afecta a barcos eléctricos, aviones y vehículos pesados usando estos estándares
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.30
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:combined_charging_system_project:combined_charging_system_firmware:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | |
| cpe:2.3:h:combined_charging_system_project:combined_charging_system:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página