# Múltiplas Vulnerabilidades Afetam o CTEK Chargeportal, Expondo Infraestrutura de Carregamento a Ataques **CTEK**, uma empresa sueca especializada em soluções de carregamento, enfrenta escrutínio à medida que múltiplas vulnerabilidades foram descobertas em seu software Chargeportal. Essas falhas poderiam permitir que atores maliciosos obtivessem controle administrativo não autorizado sobre estações de carregamento ou interrompessem serviços por meio de ataques de negação de serviço. [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-06.json) ## Resumo do Impacto A exploração bem-sucedida dessas vulnerabilidades pode levar a: * Controle administrativo não autorizado sobre estações de carregamento vulneráveis. * Interrupção de serviços de carregamento por meio de ataques de negação de serviço. O produto afetado é: * Chargeportal vers:all/* ## Detalhes da Vulnerabilidade As vulnerabilidades, reportadas à **CISA** por Khaled Sarieddine e Mohammad Ali Sayed, são detalhadas abaixo: ### CVE-2026-25192: Autenticação Ausente para Função Crítica Os endpoints WebSocket carecem de autenticação adequada, permitindo que atacantes se passem por estações de carregamento e manipulem dados. Um atacante não autenticado pode se conectar ao endpoint WebSocket OCPP usando um identificador de estação de carregamento conhecido ou descoberto, e então emitir ou receber comandos OCPP como um carregador legítimo. Isso pode levar à escalada de privilégios, controle não autorizado e corrupção de dados. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-25192) **Produto Afetado:** * **Fornecedor:** CTEK * **Produto:** CTEK Chargeportal: vers:all/* * **Status:** Afetado Conhecido **CWE Relevante:** [CWE-306 Autenticação Ausente para Função Crítica](https://cwe.mitre.org/data/definitions/306.html) ### CVE-2026-31904: Restrição Imprópria de Tentativas Excessivas de Autenticação A API WebSocket carece de limitação de taxa em requisições de autenticação. Essa ausência pode permitir que atacantes realizem ataques de negação de serviço suprimindo ou roteando incorretamente telemetria legítima do carregador, ou realizem ataques de força bruta para obter acesso não autorizado. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-31904) **Produto Afetado:** * **Fornecedor:** CTEK * **Produto:** CTEK Chargeportal: vers:all/* * **Status:** Afetado Conhecido **CWE Relevante:** [CWE-307 Restrição Imprópria de Tentativas Excessivas de Autenticação](https://cwe.mitre.org/data/definitions/307.html) ### CVE-2026-27649: Expiração Insuficiente de Sessão O backend WebSocket usa identificadores de estação de carregamento para associar sessões de forma exclusiva, mas permite que múltiplos endpoints se conectem usando o mesmo identificador de sessão. Essa implementação resulta em identificadores de sessão previsíveis e permite o sequestro ou sombreamento de sessão. Isso pode permitir que usuários não autorizados se autentiquem como outros usuários ou permitir que um ator malicioso cause uma condição de negação de serviço sobrecarregando o backend com requisições de sessão válidas. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-27649) **Produto Afetado:** * **Fornecedor:** CTEK * **Produto:** CTEK Chargeportal: vers:all/* * **Status:** Afetado Conhecido **CWE Relevante:** [CWE-613 Expiração Insuficiente de Sessão](https://cwe.mitre.org/data/definitions/613.html) ## Mitigações Recomendadas A **CISA** recomenda as seguintes medidas defensivas: * Minimizar a exposição de rede para todos os dispositivos e sistemas de controle. * Localizar redes de sistemas de controle atrás de firewalls e isolá-las de redes corporativas. * Utilizar métodos de acesso remoto seguros, como VPNs, garantindo que estejam atualizados para a versão mais recente. * Realizar análise de impacto e avaliação de risco adequadas antes de implementar medidas defensivas. A **CISA** também fornece práticas recomendadas de segurança para sistemas de controle na página ICS em cisa.gov/ics. Organizações que observarem atividades maliciosas suspeitas devem seguir os procedimentos internos estabelecidos e relatar descobertas à **CISA**. ## Histórico de Revisão * **Data da Versão Inicial:** 2026-03-19