آسیبپذیری CVE-2025-13510 با شدت 9.3 در درگاههای هوشمند Iskra iHUB و iHUB Lite به دلیل فعال بودن رابط مدیریت وب بدون نیاز به هیچگونه احراز هویت رخ میدهد. این نقص باعث میشود هر مهاجم از راه دور بتواند بدون داشتن نام کاربری یا رمز عبور، به صفحات مدیریتی دستگاه دسترسی پیدا کرده و تنظیمات حیاتی آن را مشاهده، تغییر یا دستکاری کند. از آنجا که این گیتویها در زیرساختهای اندازهگیری هوشمند (Smart Metering) استفاده میشوند، سوءاستفاده از این آسیبپذیری میتواند منجر به تغییر پیکربندی شبکه، اختلال در اندازهگیری انرژی، خاموشی یا هدایت اشتباه دادههای مصرف انرژی شود. همچنین مهاجم میتواند تنظیمات امنیتی سیستم را غیرفعال کرده یا مسیرهای ارتباطی را تغییر دهد و زمینه را برای حملات بعدی فراهم کند. نبود مکانیزم کنترل دسترسی و عدم اعتبارسنجی کاربر، این آسیبپذیری را بسیار جدی و قابل بهرهبرداری در سناریوهای واقعی میسازد.
- Iskra iHUB – نسخههای دارای رابط مدیریت وب بدون احراز هویت
- Iskra iHUB Lite – نسخههای دارای رابط مدیریت وب بدون احراز هویت
- تمامی فریمورهای قدیمی که Authentication برای Web Admin Panel در آنها غیرفعال یا پیادهسازی نشده است
- دستگاههایی که در شبکههای AMI / Smart Metering بدون کنترل دسترسی مناسب مستقر شدهاند.
- بهروزرسانی فوری فریمور به آخرین نسخه منتشرشده توسط Iskra
- فعالسازی احراز هویت قوی (Password + احتمالا Token) برای رابط مدیریت وب
- محدود کردن دسترسی به Web Admin Panel از طریق فایروال و قرار دادن آن فقط داخل شبکه داخلی
- غیرفعالسازی رابط مدیریت از راه دور (Remote Management) در صورت عدم نیاز
- اعمال Access Control List (ACL) برای جلوگیری از دسترسی غیرمجاز
- جداسازی (Segmentation) شبکه AMI از شبکههای عمومی یا غیر قابل اعتماد
- مانیتورینگ و ثبت لاگهای مدیریتی برای شناسایی فعالیتهای غیرعادیSQL.
- 28