Detalhes das vulnerabilidades
A CISA publicou em 28 de maio de 2026 um alerta sobre três vulnerabilidades críticas (CVSS 9.8) nos carregadores elétricos XCharge C6, que permitem que atacantes remotos não autenticados obtenham privilégios administrativos e executem código arbitrário nos dispositivos. Não há prazo definido para o lançamento de correções, aumentando a urgência de adoção de mitigações.
As três falhas, todas com pontuação máxima de severidade, decorrem de download de código sem verificação de integridade, estouro de buffer baseado em pilha e inicialização de recurso com configuração padrão insegura. Um atacante remoto pode explorá-las sem autenticação e sem interação do usuário, condições que tornam os dispositivos alvos ideais para ferramentas automatizadas de ataque e botnets.
O XCharge C6 é um carregador rápido de uso comercial com tecnologia DC, projetado para instalações públicas e frotas corporativas. Suporta padrões CCS e CHAdeMO e entrega até 150 kW de potência. Conecta-se a plataformas de gerenciamento em nuvem para cobrança, monitoramento remoto e atualizações de firmware — características que o transformam em um dispositivo de borda poderoso e um alvo tentador.
| Vulnerabilidade | Tipo | CVSS |
|---|---|---|
| Falha 1 | Download de código sem verificação de integridade | 9.8 |
| Falha 2 | Estouro de buffer baseado em pilha | 9.8 |
| Falha 3 | Inicialização com configuração padrão insegura | 9.8 |
Riscos para infraestrutura
Um carregador comprometido não representa apenas um problema de cobrança. O invasor pode manipular parâmetros de carga, potencialmente danificando baterias de veículos conectados, ou usar o dispositivo como ponto de entrada para movimentação lateral em redes corporativas ou municipais.
Em um cenário mais grave, um ataque coordenado poderia desestabilizar a rede elétrica ao ciclar centenas de carregadores simultaneamente — um risco que pesquisadores vêm alertando há anos. A possibilidade de ransomware direcionado à infraestrutura de recarga também é real: um atacante poderia bloquear o acesso de operadores até receber pagamento.
Diferentemente de carregadores residenciais, que ficam atrás de roteadores domésticos, unidades comerciais como o XCharge C6 costumam estar diretamente expostas à internet ou conectadas a redes operacionais com segmentação mínima, ampliando a superfície de ataque.
Contexto do setor
O alerta sobre o XCharge C6 se soma a uma série de vulnerabilidades descobertas em infraestrutura de recarga de veículos elétricos. Em 2025, falhas em marcas como Wallbox, ChargePoint e ABB ganharam destaque. Um estudo no Reino Unido identificou que a maioria dos carregadores residenciais possuía ao menos uma vulnerabilidade com CVSS acima de 7.0.
O padrão se repete: a indústria de recarga elétrica avança na implantação de hardware mais rápido do que consegue protegê-lo. A ausência de prazos para correção no advisory da CISA agrava a situação, deixando operadores sem certezas sobre quando as falhas serão efetivamente corrigidas.
Recomendações para operadores
- Isole os carregadores em uma VLAN dedicada, separada da rede corporativa principal
- Desabilite serviços desnecessários e portas de acesso remoto nos dispositivos
- Implemente autenticação forte para todo acesso administrativo aos carregadores
- Monitore logs dos dispositivos em busca de atividade anômala, como conexões de origens desconhecidas
- Restrinja a comunicação dos carregadores apenas aos endpoints de gerenciamento em nuvem necessários
- Mantenha firmware atualizado assim que a XCharge disponibilizar correções
Fontes
CISA Advisory ICSA-26-148-08 | Windows News | ONEKEY Research