ISGroup Conseil en Cybersécurité

CVE-2025-13510 : Vulnérabilité de contournement d’authentification dans la passerelle de comptage intelligent Iskra iHUB

Iskra iHUB et iHUB Lite sont des passerelles de comptage intelligent utilisées au sein de l’infrastructure de comptage avancé (AMI) et constituent un lien critique entre les compteurs des consommateurs et les fournisseurs de services. Ces appareils sont fondamentaux pour les opérations des réseaux électriques modernes, car ils permettent la lecture à distance des compteurs, le suivi et la gestion.

La vulnérabilité représente un risque critique car elle permet un contrôle administratif complet non authentifié sur les appareils concernés. Cette faille est facile à exploiter si l’interface de gestion web de l’appareil est exposée à des réseaux non fiables, comme Internet. Compte tenu de la gravité de cette vulnérabilité dans les systèmes de contrôle industriel (ICS), l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte concernant des menaces actives.

Tout fournisseur de services utilisant ces passerelles est en danger immédiat. Une exploitation réussie pourrait entraîner de graves interruptions de service, des erreurs de facturation et constituer un point d’accès pour des attaques plus larges contre le réseau électrique. L’existence d’un exploit public augmente considérablement la probabilité d’attaques opportunistes ou ciblées.

ProduitIskra iHUB
Date05-12-2025 00:19:05

Résumé technique

La cause principale de cette vulnérabilité est une CWE-306 : Absence d’authentification pour une fonction critique. L’interface de gestion web de l’appareil ne met en œuvre aucun mécanisme d’authentification, permettant à tout utilisateur distant d’accéder aux pages de configuration sensibles et aux fonctions administratives sans fournir d’identifiants.

La chaîne d’attaque est simple :

  1. Un attaquant découvre un appareil Iskra iHUB accessible depuis Internet.
  2. L’attaquant se connecte directement à l’adresse IP du portail de gestion web de l’appareil via un navigateur standard.
  3. L’appareil accorde un accès administratif complet et immédiat, car aucun type d’authentification n’est requis.

Un attaquant non authentifié peut modifier des paramètres critiques, y compris les paramètres réseau, les configurations de rapport des compteurs et le firmware. Cela pourrait être utilisé pour manipuler les données de facturation, créer une condition de déni de service diffus en mettant les compteurs hors ligne, ou utiliser la passerelle compromise comme point de départ pour attaquer le réseau de technologie opérationnelle (OT) du fournisseur.

Systèmes concernés : appareils Iskra iHUB et iHUB Lite.
Correction : Au moment de cet avis, aucun correctif n’est disponible. Il est conseillé aux utilisateurs de surveiller les communications du fournisseur pour obtenir des mises à jour.

Recommandations

  • Appliquer les correctifs dès qu’ils sont disponibles : Surveiller les avis du fournisseur Iskraemeco pour les mises à jour du firmware et les appliquer dès leur publication.
  • Atténuations :
    • S’assurer IMMÉDIATEMENT que l’interface de gestion web de tous les appareils Iskra iHUB n’est pas exposée à l’Internet public.
    • Utiliser la segmentation du réseau pour isoler l’infrastructure de comptage intelligent des réseaux d’entreprise et des autres réseaux.
    • Mettre en œuvre des règles de pare-feu restrictives pour limiter l’accès à l’interface de gestion, en autorisant uniquement les connexions depuis un hôte de rebond (jump host) administratif dédié ou depuis une plage d’adresses IP sécurisées et autorisées.
    • Exiger un accès via VPN pour toute administration à distance des appareils.

  • Détection et surveillance :

    • Analyser les journaux du pare-feu et du réseau pour détecter toute connexion aux ports de gestion Iskra iHUB depuis des adresses IP externes et non fiables.
    • Surveiller les appareils pour détecter toute modification non autorisée ou inattendue de la configuration, en particulier concernant les paramètres réseau ou les points de terminaison des rapports.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, isoler immédiatement l’appareil concerné du réseau pour éviter tout impact supplémentaire.
    • Effectuer un audit complet de la configuration de l’appareil en la comparant à une base de référence connue comme fiable.
    • Conserver les journaux et les images de l’appareil pour des analyses forensiques.

  • Défense en profondeur :

    • Effectuer régulièrement des évaluations de sécurité et des analyses de vulnérabilité sur tous les composants des réseaux OT et AMI.
    • S’assurer que des procédures robustes de sauvegarde et de restauration sont en place pour les configurations critiques des appareils.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *