Iskra’nın dünya çapında enerji altyapısında kullanılan iHUB ve iHUB Lite akıllı ölçüm ağ geçitlerini etkileyen ciddi bir kimlik doğrulama güvenlik açığına ilişkin kritik bir uyarı.
CVE-2025-13510 olarak takip edilen kusur, CVSS v4 önem puanı 9,3’tür, bu da saldırganlar için minimum düzeyde teknik karmaşıklık gerektiren bir istismara işaret etmektedir.
Güvenlik açığı, etkilenen cihazların web yönetimi arayüzünde bir kimlik doğrulama mekanizmasının bulunmamasından kaynaklanmaktadır.
Iskra iHUB Güvenlik Açığı
Bu kritik gözetim, kimliği doğrulanmamış uzak saldırganların herhangi bir kimlik bilgisi vermeden cihazın kontrol paneline erişmesine olanak tanır.
Potansiyel olarak ayarları yeniden yapılandırma, aygıt yazılımını güncelleme ve enerji ağları içindeki bağlı sistemleri yönetme becerisi kazanma.
Belirlenen savunmasız cihazların küresel enerji sektörü genelinde konuşlandırılması, durumu kritik altyapı operatörleri için önemli bir endişe haline getiriyor.
Iskra, CISA’nın koordinasyon taleplerine yanıt vermedi ve kuruluşların savunma amaçlı hafifletme stratejilerinin ötesinde satıcı tarafından sağlanan yamalardan veya resmi rehberlikten mahrum kalmasına neden oldu.
| Metrik | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-13510 |
| Etkilenen Ürünler | iHUB ve iHUB Lite (Tüm Sürümler) |
| Güvenlik Açığı Türü | Kritik İşlev için Eksik Kimlik Doğrulaması (CWE-306) |
| CVSS v4 Puanı | 9.3 |
| Saldırı Vektörü | Ağ tabanlı, uzaktan sömürülebilir |
CISA, kontrol sistemi altyapısını internete yönelik ağlardan yalıtmak için ağ bölümlendirmesinin uygulanmasını önerir.
Kuruluşlar bu cihazları sınırlı erişime sahip güvenlik duvarlarının arkasına yerleştirmelidir. Gerekli uzaktan yönetim için Sanal Özel Ağları uygulamayı düşünün.
Kapsamlı savunma stratejileri, şüpheli yönetici erişim girişimlerine ve etkilenen cihazlardaki anormal yapılandırma değişikliklerine karşı ağ izlemeyi içermelidir.
Ajans, kuruluşların savunma önlemlerini uygulamadan önce kapsamlı risk değerlendirmeleri yapması gerektiğini vurguluyor.
Şüphelenilen herhangi bir kötü amaçlı etkinliği, diğer olaylarla ilişkilendirilmesi için CISA’ya bildirin. Cisa.gov/ics adresindeki CISA’nın Endüstriyel Kontrol Sistemleri kaynakları aracılığıyla ek rehberlik mevcuttur.
Kritik altyapı varlıklarını korumaya yönelik kapsamlı siber güvenlik en iyi uygulamaları belgelerini içerir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
