# Múltiples vulnerabilidades afectan a CTEK Chargeportal, exponiendo la infraestructura de carga a ataques **CTEK**, una empresa sueca especializada en soluciones de carga, enfrenta escrutinio debido a que se han descubierto múltiples vulnerabilidades en su software Chargeportal. Estas fallas podrían permitir a actores maliciosos obtener control administrativo no autorizado sobre las estaciones de carga o interrumpir los servicios mediante ataques de denegación de servicio. [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-06.json) ## Resumen del Impacto La explotación exitosa de estas vulnerabilidades podría resultar en: * Control administrativo no autorizado sobre estaciones de carga vulnerables. * Interrupción de los servicios de carga mediante ataques de denegación de servicio. El producto afectado es: * Chargeportal vers:all/* ## Detalles de las Vulnerabilidades Las vulnerabilidades, reportadas a **CISA** por Khaled Sarieddine y Mohammad Ali Sayed, se detallan a continuación: ### CVE-2026-25192: Falta de autenticación para funciones críticas Los puntos finales de WebSocket carecen de autenticación adecuada, lo que permite a los atacantes suplantar estaciones de carga y manipular datos. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, y luego emitir o recibir comandos OCPP como un cargador legítimo. Esto puede llevar a escalada de privilegios, control no autorizado y corrupción de datos. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2026-25192) **Producto Afectado:** * **Vendedor:** CTEK * **Producto:** CTEK Chargeportal: vers:all/* * **Estado:** Afectado Conocido **CWE Relevante:** [CWE-306 Falta de autenticación para funciones críticas](https://cwe.mitre.org/data/definitions/306.html) ### CVE-2026-31904: Restricción inadecuada de intentos excesivos de autenticación La API de WebSocket carece de limitación de velocidad en las solicitudes de autenticación. Esta ausencia puede permitir a los atacantes realizar ataques de denegación de servicio suprimiendo o redirigiendo incorrectamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2026-31904) **Producto Afectado:** * **Vendedor:** CTEK * **Producto:** CTEK Chargeportal: vers:all/* * **Estado:** Afectado Conocido **CWE Relevante:** [CWE-307 Restricción inadecuada de intentos excesivos de autenticación](https://cwe.mitre.org/data/definitions/307.html) ### CVE-2026-27649: Expiración de sesión insuficiente El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación da como resultado identificadores de sesión predecibles y permite el secuestro o la suplantación de sesiones. Esto puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir que un actor malicioso cause una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2026-27649) **Producto Afectado:** * **Vendedor:** CTEK * **Producto:** CTEK Chargeportal: vers:all/* * **Estado:** Afectado Conocido **CWE Relevante:** [CWE-613 Expiración de sesión insuficiente](https://cwe.mitre.org/data/definitions/613.html) ## Mitigaciones Recomendadas **CISA** recomienda las siguientes medidas defensivas: * Minimizar la exposición de red para todos los dispositivos y sistemas de control industrial. * Ubicar las redes de sistemas de control detrás de firewalls y aislarlas de las redes empresariales. * Utilizar métodos de acceso remoto seguros como VPN, asegurándose de que estén actualizados a la última versión. * Realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas. **CISA** también proporciona prácticas recomendadas de seguridad para sistemas de control en la página web de ICS en cisa.gov/ics. Las organizaciones que observen actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos e informar los hallazgos a **CISA**. ## Historial de Revisiones * **Fecha de Lanzamiento Inicial:** 2026-03-19