智能计量基础设施中发现 严重安全漏洞,可能导致公用事业网络面临远程接管风险。美国网络安全与基础设施安全局(CISA)已发布安全公告,指出伊士克拉(Iskra)iHUB 和 iHUB Lite 设备存在 严重漏洞,攻击者可利用该漏洞完全绕过身份验证。
该漏洞编号为 CVE-2025-13510,CVSS v3.1 基础评分为 9.1(严重),影响所有版本的 Iskra iHUB 和 iHUB Lite 设备——这些设备通常用作智能计量网关和数据集中器。
漏洞根源在于设备安全架构的 根本性缺陷:关键功能缺失身份验证检查。CISA 公告指出,该设备“暴露其 Web 管理界面且无需身份验证,允许未授权用户访问并修改关键设备设置”。
本质上,管理面板处于 未锁定状态,无需用户名或密码即可访问。
此漏洞的潜在影响远不止简单的数据泄露。由于 Web 界面控制设备核心功能,攻击者一旦获取访问权限,将直接获得管理员权限。
公告警告:“成功利用此漏洞可使远程攻击者无需任何凭据即可重新配置设备、更新固件及操纵连接的系统。”
恶意行为者可能借此:
- 中断服务:通过重新配置设备设置
- 建立持久控制:上传恶意固件更新
- 横向渗透:操纵网关下游的连接系统
情况因厂商无响应而进一步复杂化。CISA 在报告中指出:“伊士克拉未回应 CISA 的协调请求”,导致受影响组织无法获得官方补丁或修复时间表。该漏洞由研究员 Souvik Kandar 最初报告给 CISA。
鉴于目前 无厂商补丁,CISA 敦促用户立即采取严格防御措施,将这些设备与公共互联网隔离。
发表评论
您还未登录,请先登录。
登录