Caricabatterie elettrici a rischio: Nuovi bug scoperti dai ricercatori sugli XCharge C6

I ricercatori hanno identificato gravi bug di sicurezza nel sistema di gestione del firmware e nelle interfacce fisiche dei caricabatterie XCharge C6, permettendo agli aggressori di eseguire codice arbitrario e ottenere accesso amministrativo completo. Il produttore ha rilasciato correzioni software automatizzate, ma è essenziale mantenere rigide abitudini di applicazione delle patch per garantire la sicurezza dell'infrastruttura dei veicoli elettrici.

I ricercatori di sicurezza hanno recentemente scoperto gravi difetti di sicurezza nei caricabatterie nell’infrastruttura dei veicoli elettrici. Nello specifico, queste vulnerabilità XCharge C6 appena scoperte minacciano le reti globali di stazioni di ricarica. I sistemi senza patch consentono agli utenti non autorizzati di eseguire codice arbitrariocon privilegi elevati. Di conseguenza, gli operatori di rete devono verificare immediatamente lo stato delle patch hardware per impedire lo sfruttamento remoto.

Il difetto più grave influisce direttamente sul sistema di controllo dei dispositivi.

Tracciato come CVE-2026-9037, questo bug porta un punteggio CVSS allarmante di 9,3. Inoltre, l’interfaccia di gestione non riesce a convalidare correttamente i file. Secondo l’avviso, “Poiché le firme crittografiche non vengono verificate, un utente malintenzionato con la capacità di interferire o impersonare il canale di gestione potrebbe far sì che il dispositivo installi un pacchetto firmware non autorizzato”.

Pertanto, gli attori delle minacce possono dirottare completamente il sistema da remoto.

Gli avversari possono anche prendere di mira il caricabatterie attraverso le interfacce hardware locali. Nello specifico, il CVE-2026-9038 evidenzia una pericolosa vulnerabilità di stack buffer overflow. Questo difetto risiede nella logica di elaborazione del segnale del controller. Di conseguenza, gli aggressori con accesso fisico possono creare messaggi di grandi dimensioni per danneggiare la memoria del sistema.

Inoltre, una grave debolezza della configurazione influisce sul canale di segnalazione. Gli aggressori tracciano questa falla di accesso al terminale come CVE-2026-9039. Il sistema accetta erroneamente credenziali amministrative predefinite sui percorsi di comunicazione del caricatore del veicolo.

Pertanto, “un dispositivo dannoso collegato fisicamente all’interfaccia di ricarica potrebbe sfruttare questa errata configurazione per ottenere l’accesso amministrativo completo”.

Queste vulnerabilità combinate di XCharge C6 rappresentano un rischio immediato per la sicurezza dell’infrastruttura locale.

Fortunatamente, il produttore ha già implementato correzioni software.

La società ha confermato che gli aggiornamenti sono attivi per tutte le unità di ricarica attive. Tuttavia, gli amministratori dovrebbero comunque contattare l’assistenza clienti per confermare il loro attuale stato di sicurezza. In definitiva, mantenere rigide abitudini di applicazione delle patch rimane sempre il modo migliore per proteggere l’infrastruttura dei veicoli intelligenti.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance