Industrielle Kontrollsysteme: Iskra iHUB bleibt vorerst ohne Sicherheitspatch

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Industrielle Steuerungs- und Automatisierungssysteme (ICS), vor allem in kritischen Infrastrukturen, gelten als besonders schützenswert. Demzufolge sollten Admins Sicherheitspatches zügig installieren. In einem aktuellen Fall gibt es derzeit aber kein Update, die Schwachstelle bleibt offen.

Bedrohte ICS

Die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) führt in einem Beitrag Sicherheitslücken in Industrial Video & Control Longwatch, Iskra iHUB and iHUB Lite, Mirion Medical EC2 Software NMIS BioDose, Mitsubishi Electric CNC Series und Mitsubishi Electric MELSEC iQ-R Series/iQ-F Series auf. Diese ICS werden weltweit unter anderem im Energiesektor eingesetzt.

Kein Patch in Sicht

Besonders hervorzuheben ist eine „kritische“ Lücke (CVE-2025-13510) in Iskra iHUB und iHUB Lite. Weil es keine Authentifizierung im Kontext von Systemeinstellungen gibt, kann ein entfernter Angreifer ohne Anmeldung etwa Systeme manipulieren. Die CISA gibt an, den Softwarehersteller kontaktiert zu haben. Bislang gab es der Behörde zufolge aber keine Antwort auf die Anfrage, und die kritische Lücke bleibt vorerst bestehen. Um ein Angriffsrisiko zu minimieren, sollten Systeme unter anderem nicht öffentlich über das Internet erreichbar sein.

Weitere Sicherheitslücken

Durch eine „kritische“ Lücke (CVE-2025-13658) in Industrial Video & Control Longwatch kann Schadcode auf Systeme gelangen. Dagegen ist die Ausgabe 6.335 gerüstet. In Mirion Medical EC2 Software NMIS BioDose können Angreifer etwa ausführbare Dateien manipulieren. Hier schafft die Ausgabe V23.0 Abhilfe.

Weiterführende Informationen zu den Schwachstellen und Sicherheitsupdates führt die CISA in einem Beitrag aus.

(des)