# Mehrere Schwachstellen im CTEK Chargeportal gefährden Ladeinfrastruktur **CTEK**, ein schwedisches Unternehmen, das sich auf Ladelösungen spezialisiert hat, steht im Fokus der Aufmerksamkeit, da mehrere Schwachstellen in seiner Chargeportal-Software entdeckt wurden. Diese Fehler könnten es böswilligen Akteuren ermöglichen, unbefugte administrative Kontrolle über Ladestationen zu erlangen oder Dienste über Denial-of-Service-Angriffe zu stören. [CSAF anzeigen](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-06.json) ## Zusammenfassung der Auswirkungen Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte zu folgenden Ergebnissen führen: * Unbefugte administrative Kontrolle über anfällige Ladestationen. * Störung von Ladediensten durch Denial-of-Service-Angriffe. Das betroffene Produkt ist: * Chargeportal vers:all/* ## Details zu den Schwachstellen Die von Khaled Sarieddine und Mohammad Ali Sayed an **CISA** gemeldeten Schwachstellen werden nachfolgend detailliert beschrieben: ### CVE-2026-25192: Fehlende Authentifizierung für kritische Funktionen WebSocket-Endpunkte weisen keine ordnungsgemäße Authentifizierung auf, was es Angreifern ermöglicht, sich als Ladestationen auszugeben und Daten zu manipulieren. Ein nicht authentifizierter Angreifer kann sich mit einem bekannten oder entdeckten Ladeidentifikator mit dem OCPP WebSocket-Endpunkt verbinden und dann OCPP-Befehle als legitimer Lader ausgeben oder empfangen. Dies kann zu Rechteausweitung, unbefugter Kontrolle und Datenkorruption führen. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2026-25192) **Betroffenes Produkt:** * **Hersteller:** CTEK * **Produkt:** CTEK Chargeportal: vers:all/* * **Status:** Bekannt betroffen **Relevante CWE:** [CWE-306 Fehlende Authentifizierung für kritische Funktionen](https://cwe.mitre.org/data/definitions/306.html) ### CVE-2026-31904: Unzureichende Beschränkung exzessiver Authentifizierungsversuche Die WebSocket-API weist keine Ratenbegrenzung für Authentifizierungsanfragen auf. Diese Lücke kann es Angreifern ermöglichen, Denial-of-Service-Angriffe durchzuführen, indem sie legitime Telemetriedaten von Ladestationen unterdrücken oder fehlleiten, oder Brute-Force-Angriffe durchzuführen, um unbefugten Zugriff zu erlangen. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2026-31904) **Betroffenes Produkt:** * **Hersteller:** CTEK * **Produkt:** CTEK Chargeportal: vers:all/* * **Status:** Bekannt betroffen **Relevante CWE:** [CWE-307 Unzureichende Beschränkung exzessiver Authentifizierungsversuche](https://cwe.mitre.org/data/definitions/307.html) ### CVE-2026-27649: Unzureichender Sitzungsablauf Das WebSocket-Backend verwendet Ladeidentifikatoren, um Sitzungen eindeutig zuzuordnen, erlaubt jedoch mehreren Endpunkten, sich mit demselben Sitzungsidentifikator zu verbinden. Diese Implementierung führt zu vorhersagbaren Sitzungsidentifikatoren und ermöglicht Session Hijacking oder Shadowing. Dies kann unbefugten Benutzern ermöglichen, sich als andere Benutzer zu authentifizieren, oder einem böswilligen Akteur ermöglichen, eine Denial-of-Service-Bedingung zu verursachen, indem das Backend mit gültigen Sitzungsanfragen überlastet wird. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2026-27649) **Betroffenes Produkt:** * **Hersteller:** CTEK * **Produkt:** CTEK Chargeportal: vers:all/* * **Status:** Bekannt betroffen **Relevante CWE:** [CWE-613 Unzureichender Sitzungsablauf](https://cwe.mitre.org/data/definitions/613.html) ## Empfohlene Abhilfemaßnahmen **CISA** empfiehlt die folgenden Abwehrmaßnahmen: * Minimieren Sie die Netzwerkaussetzung für alle Steuerungsgeräte und -systeme. * Platzieren Sie Steuerungsnetzwerke hinter Firewalls und isolieren Sie sie von Geschäftsnetzwerken. * Verwenden Sie sichere Fernzugriffsmethoden wie VPNs und stellen Sie sicher, dass diese auf dem neuesten Stand sind. * Führen Sie eine ordnungsgemäße Auswirkungsanalyse und Risikobewertung durch, bevor Sie Abwehrmaßnahmen implementieren. **CISA** bietet auch empfohlene Sicherheitspraktiken für Steuerungssysteme auf der ICS-Webseite unter cisa.gov/ics an. Organisationen, die verdächtige bösartige Aktivitäten beobachten, sollten die etablierten internen Verfahren befolgen und ihre Erkenntnisse an **CISA** melden. ## Revisionshistorie * **Datum der Erstveröffentlichung:** 2026-03-19