Vulnerabilità critica nei dispositivi Iskra iHUB e iHUB Lite: rischio di acquisizione da remoto

È stata scoperta una grave vulnerabilità di sicurezza nell’infrastruttura di smart metering, che potrebbe esporre le reti di servizi pubblici a rischi di acquisizione da remoto.

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso di sicurezza che segnala una vulnerabilità critica nei dispositivi Iskra iHUB e iHUB Lite , che gli aggressori potrebbero sfruttare per bypassare completamente l’autenticazione.

La vulnerabilità, identificata come CVE-2025-13510, ha un punteggio base di 9,1 (critico) in CVSS v3.1 e colpisce tutte le versioni dei dispositivi Iskra iHUB e iHUB Lite, solitamente utilizzati come gateway di misurazione intelligente e concentratori di dati.

La vulnerabilità deriva da un difetto fondamentale nell’architettura di sicurezza del dispositivo: la mancanza di controlli di autenticazione per le funzioni critiche. L’annuncio del CISA afferma che il dispositivo “espone la sua interfaccia di gestione web senza autenticazione, consentendo a utenti non autorizzati di accedere e modificare le impostazioni critiche del dispositivo”.

In sostanza, il pannello di gestione è sbloccato e vi si può accedere senza nome utente o password.

Il potenziale impatto di questa vulnerabilità va ben oltre le semplici violazioni dei dati. Poiché l’interfaccia web controlla le funzioni principali del dispositivo, un aggressore che ne ottenesse l’accesso acquisirebbe immediatamente i privilegi di amministratore.

L’annuncio avverte: “Lo sfruttamento di questa vulnerabilità potrebbe consentire a un aggressore remoto di riconfigurare i dispositivi, aggiornare il firmware e manipolare i sistemi connessi senza alcuna credenziale”. Gli autori di azioni malintenzionate potrebbero sfruttarlo per:

1. Interruzione del servizio : riconfigurando le impostazioni del dispositivo
2. Stabilisci un controllo persistente : carica aggiornamenti firmware dannosi
3. Penetrazione laterale : manipolazione del sistema di connessione a valle del gateway

La situazione è stata ulteriormente complicata dalla mancata risposta del fornitore. CISA ha dichiarato nel suo rapporto che “Iskla non ha risposto alla richiesta di coordinamento di CISA”, impedendo alle organizzazioni interessate di ottenere patch ufficiali o una tempistica per la correzione. La vulnerabilità è stata inizialmente segnalata a CISA dal ricercatore Souvik Kandar.

Data l’attuale mancanza di patch da parte dei fornitori, il CISA esorta gli utenti ad adottare immediatamente misure difensive rigorose per isolare questi dispositivi dalla rete Internet pubblica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione