Um aviso crítico sobre uma grave vulnerabilidade de autenticação que afeta os gateways de medição inteligente iHUB e iHUB Lite da Iskra usados em infraestrutura de energia em todo o mundo.
A falha, rastreada como CVE-2025-13510, carrega uma pontuação de gravidade CVSS v4 de 9,3, indicando uma exploração que requer complexidade técnica mínima para os invasores.
A vulnerabilidade decorre da ausência de um mecanismo de autenticação na interface de gerenciamento web dos dispositivos afetados.
Vulnerabilidade de segurança do Iskra iHUB
Essa supervisão crítica permite que invasores remotos não autenticados acessem o painel de controle do dispositivo sem fornecer quaisquer credenciais.
Potencialmente ganhando a capacidade de reconfigurar configurações, atualizar firmware e manipular sistemas conectados em redes de energia.
Os dispositivos vulneráveis identificados são implantados em todo o setor energético global, tornando esta uma preocupação significativa para os operadores de infraestruturas críticas.
O Iskra não respondeu aos pedidos de coordenação da CISA, deixando as organizações sem patches fornecidos pelos fornecedores ou orientação oficial além de estratégias defensivas de mitigação.
MetricDetailsCVE IDCVE-2025-13510Produtos afetadosiHUB e iHUB Lite (todas as versões)Tipo de vulnerabilidadeAutenticação ausente para função crítica (CWE-306)Pontuação CVSS v49.3Vetor de ataqueBaseado em rede, explorável remotamente
A CISA recomenda a implementação de segmentação de rede para isolar a infraestrutura do sistema de controle das redes voltadas para a Internet.
As organizações devem implantar esses dispositivos atrás de firewalls com acesso restrito. Considere a implementação de redes privadas virtuais para qualquer administração remota necessária.
As estratégias de defesa profunda devem incluir o monitoramento da rede para tentativas suspeitas de acesso administrativo e alterações anômalas de configuração nos dispositivos afetados.
A agência enfatiza que as organizações devem realizar avaliações de risco minuciosas antes de implementar medidas defensivas.
Relate qualquer suspeita de atividade maliciosa à CISA para correlação com outros incidentes. Orientações adicionais estão disponíveis através dos recursos de Sistemas de Controle Industrial da CISA em cisa.gov/ics.
Incluindo sua documentação abrangente de práticas recomendadas de segurança cibernética para proteger ativos de infraestrutura crítica.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
