A CISA divulgou em 25 de junho de 2026 múltiplas vulnerabilidades críticas (CVE-2026-22552, CVSS 9,8) no sistema de gestão de carregadores da EVoke Systems, permitindo a invasores assumir o controle administrativo de estações de recarga de veículos elétricos em todo o mundo. As falhas afetam todas as versões do EVoke CSMS e expõem diretamente os setores de energia e transporte.

Como funciona o ataque

O vetor principal de ataque explora a ausência de autenticação nos endpoints WebSocket do EVoke CSMS — a plataforma que gerencia a comunicação entre estações de recarga e o backend da operadora. Sem verificar a identidade do dispositivo conectado, o sistema aceita conexões de qualquer origem que se apresente como um carregador legítimo.

Isso permite que um invasor se faça passar por uma estação de recarga real, envie comandos falsos ao backend e execute ações administrativas sem credenciais. A falha foi identificada pelos pesquisadores Khaled Sarieddine e Mohammad Ali Sayed, que relataram o caso à CISA.

CVEs que comprometem o sistema

O aviso ICSA-26-176-02 reúne três vulnerabilidades encadeadas que amplificam o impacto individual de cada uma:

CVE CVSS Descrição da falha
CVE-2026-22552 9,8 Falta de autenticação em endpoints WebSocket permite falsificar carregadores
CVE-2026-20895 7,5 Identificadores de sessão duplicados permitem sequestro de sessão e DoS
CVE-2026-22890 5,3 Identificadores de carregador ficam expostos em plataformas de mapeamento web

Combinadas, as três falhas formam uma cadeia de ataque completa: o invasor descobre identificadores públicos de carregadores (CVE-2026-22890), falsifica uma conexão sem autenticação (CVE-2026-22552) e mantém múltiplas sessões paralelas com o mesmo ID para sequestrar conexões legítimas (CVE-2026-20895).

Por que OCPP é o problema

A raiz do problema está no protocolo OCPP (Open Charge Point Protocol), padrão aberto que rege a comunicação entre carregadores e sistemas de gestão. O OCPP define quatro perfis de segurança (0 a 3), mas carregadores legados — alguns fabricados por empresas que já encerraram o suporte, como a EVBox — só suportam os perfis 0 e 1, sem criptografia TLS nem autenticação por certificado.

A EVoke opera como uma plataforma independente de hardware e precisa interoperar com dispositivos de múltiplos fabricantes. Isso significa que a segurança efetiva de cada conexão depende do perfil implementado no firmware do carregador — e não no servidor. Carregadores antigos sem atualização ficam permanentemente expostos.

Impacto na infraestrutura global

O EVoke CSMS está implantado em redes de carregamento em todo o mundo, nos setores de energia e transporte. Um atacante que assuma o controle administrativo pode interromper serviços de recarga, manipular dados de faturamento, exfiltrar credenciais de usuários e provocar negação de serviço em larga escala.

A escalada rápida da infraestrutura de veículos elétricos amplia a superfície de ataque. Cada nova estação conectada ao sistema herda as vulnerabilidades do protocolo se operar com perfis de segurança fracos.

Como se proteger agora

  • Migrar para OCPP Security Profile 2 ou 3: ative TLS com autenticação básica (perfil 2) ou TLS mútuo com certificados de cliente (perfil 3) em todos os carregadores compatíveis.
  • Implementar allow-list de carregadores: aceite apenas conexões de identificadores cadastrados no inventário do CSMS; rejeite identificadores desconhecidos.
  • Limitar uma sessão ativa por carregador: bloqueie conexões paralelas com o mesmo ID para impedir sequestro de sessão.
  • Monitorar anomalias de sessão: registre tentativas repetidas de conexão, mudanças inesperadas de endereço IP e padrões de mensagem anormais.
  • Isolar carregadores sem suporte: dispositivos legados que não podem ser atualizados devem operar em segmentos de rede segregados com monitoramento adicional.

Fontes