Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zeventien nieuwe kwetsbaarheden ontdekt in laadpalen van fabrikant Iocharger. Via deze zogeheten zero-days hadden cybercriminelen alle laadpalen van de leverancier kunnen overnemen en het energienetwerk kunnen ontwrichten.
Van de zeventien ontdekte kwetsbaarheden zijn er inmiddels zestien ‘in goed overleg met de fabrikant’ verholpen. Toch blijft het volgens het instituut een structureel probleem dat Iocharger zijn firmware-updates uitsluitend via distributeurs communiceert. Daardoor weten eindgebruikers meestal niet of hun laadpaal de juiste updates heeft ontvangen. DIVD plet voor directe klantcommunicatie over kwetsbaarheden.
‘Het is absurd dat we kritieke fouten in producten als laadpalen accepteren zonder transparantie over updates’, stelt onderzoeker Frank Breedijk, die namens het DIVD het contact onderhoudt met Iocharger. ‘Een smartphone waarschuwt voor updates, maar bij apparaten die direct impact hebben op ons energienet ontbreekt deze basale voorziening vaak volledig.’
Energienet kwetsbaar
De kwetsbaarheden zijn gevonden in zowel thuis- als openbare-modellen van Iocharger. Omdat dezelfde kwetsbare firmware ook in andere merken voorkomt, blijft de omvang van het probleem onduidelijk. Dit vergroot het risico dat grootschalig misbruik is te maken van het systeem, stelt DIVD.
DIVD wijst erop dat de Europese Cyber Resilience Act fabrikanten verplicht om tijdens de levensduur van hun producten beveiligingsupdates en onderhoudsinstructies aan te bieden. ‘Dit lijkt een stap vooruit, maar de verantwoordelijkheid voor het toepassen van updates ligt nog steeds bij de eindgebruiker. Veel gebruikers hebben echter geen toegang tot hun apparaten om updates uit te voeren of te controleren, waardoor systemen kwetsbaar blijven.’
Het is niet voor het eerst dat DIVD kwetsbaarheden in de energiesector aan het licht brengt. In 2024 vonden DIVD-onderzoekers zero-day- kwetsbaarheden in Enphase-omvormers. Zo konden kwaadwillenden volledige toegang krijgen tot miljoenen zonnepanelen. In 2022 stuitte een andere researcher bij DIVD op de inloggegevens van het super-admin-account van het beheerplatform van de SolarMan-omvormers waarmee hij meer dan een miljoen omvormers kon saboteren.
Meer informatie over de Iocharger-casus is te vinden op DIVD-2024-00035.
