Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
È stata scoperta una grave vulnerabilità di sicurezza nell’infrastruttura di smart metering, che potrebbe esporre le reti di servizi pubblici a rischi di acquisizione da remoto.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso di sicurezza che segnala una vulnerabilità critica nei dispositivi Iskra iHUB e iHUB Lite , che gli aggressori potrebbero sfruttare per bypassare completamente l’autenticazione.
La vulnerabilità, identificata come CVE-2025-13510, ha un punteggio base di 9,1 (critico) in CVSS v3.1 e colpisce tutte le versioni dei dispositivi Iskra iHUB e iHUB Lite, solitamente utilizzati come gateway di misurazione intelligente e concentratori di dati.
La vulnerabilità deriva da un difetto fondamentale nell’architettura di sicurezza del dispositivo: la mancanza di controlli di autenticazione per le funzioni critiche. L’annuncio del CISA afferma che il dispositivo “espone la sua interfaccia di gestione web senza autenticazione, consentendo a utenti non autorizzati di accedere e modificare le impostazioni critiche del dispositivo”.
In sostanza, il pannello di gestione è sbloccato e vi si può accedere senza nome utente o password.
Il potenziale impatto di questa vulnerabilità va ben oltre le semplici violazioni dei dati. Poiché l’interfaccia web controlla le funzioni principali del dispositivo, un aggressore che ne ottenesse l’accesso acquisirebbe immediatamente i privilegi di amministratore.
L’annuncio avverte: “Lo sfruttamento di questa vulnerabilità potrebbe consentire a un aggressore remoto di riconfigurare i dispositivi, aggiornare il firmware e manipolare i sistemi connessi senza alcuna credenziale”. Gli autori di azioni malintenzionate potrebbero sfruttarlo per:
La situazione è stata ulteriormente complicata dalla mancata risposta del fornitore. CISA ha dichiarato nel suo rapporto che “Iskla non ha risposto alla richiesta di coordinamento di CISA”, impedendo alle organizzazioni interessate di ottenere patch ufficiali o una tempistica per la correzione. La vulnerabilità è stata inizialmente segnalata a CISA dal ricercatore Souvik Kandar.
Data l’attuale mancanza di patch da parte dei fornitori, il CISA esorta gli utenti ad adottare immediatamente misure difensive rigorose per isolare questi dispositivi dalla rete Internet pubblica.
