Iskra iHUB 智慧電表未授權存取漏洞概述

Iskra iHUB 智慧電表近期被安全研究員發現存在未授權存取漏洞，允許攻擊者在不經授權的情況下讀取或修改電表資料，造成資料洩漏與電力計費失真。漏洞根源在於其網路管理介面缺乏足夠身份驗證機制，且預設帳號與密碼未被更改，類似於 Array Networks VPN 設備在 2025 年 12 月被利用植入 Web Shell 的情境 (Ithome, 2025)。

主要發現

漏洞可透過 HTTP GET 請求直接存取 /api/readings，返回 JSON 格式的用電資訊。攻擊者不需要任何驗證即可取得帳號列表、電表 ID 以及歷史用電紀錄。若結合社群中已知的弱口令利用方式，即可輕易繞過安全邊界 (Ithome, 2025)。

資安風險評估

• 資料洩漏：用電數據屬於個人隱私，洩露會違反 GDPR 或本地隱私法規。
• 計費誤差：攻擊者可篡改用電值，造成用戶多付或少付，影響企業營收。
• 滲透平台：一旦攻擊者取得管理介面存取權，可進一步探測同網段其他 IoT 裝置，形成更大範圍的攻擊面。
• 供電安全：在關鍵基礎設施中，電表數據被惡意修改可能導致供電失衡或過載。

防護策略

1. 立即關閉預設帳號與密碼，並強制啟用多因素驗證 (MFA)。
2. 使用 Web 應用防火牆（WAF）攔截未授權 HTTP 請求，並設定速率限制。
3. 對管理介面實施 IP 白名單，只允許受信任的管理終端連線。
4. 定期掃描弱口令與零日漏洞，使用自動化工具（如 Nessus）排查網路服務。
5. 在雲端環境使用實時偵測平台（如 CloudWatch）監控 API 呼叫，偵測異常行為。

MITRE ATT&CK 對應

• T1078 – Valid Accounts（利用預設帳號存取）
• T1190 – Exploit Public-Facing Application（利用未授權 API）
• T1543 – Create or Modify System Process（可能在系統內部植入惡意程式）

案例參考

# 以 AWS WAF 建立基本規則
aws wafv2 create-rule-group 
  --name iHubBlockRules 
  --scope REGIONAL 
  --rules '[
    { "Name":"RateLimit", "Priority":1, "Statement":{ "RateBasedStatement":{ "Limit":1000, "AggregateKeyType":"IP" } }, "Action":{ "Block":{} } },
    { "Name":"AuthCheck", "Priority":2, "Statement":{ "ByteMatchStatement":{ "SearchString":"Authorization", "FieldToMatch":{ "Header":"Authorization" }, "TextTransformations":[{ "Priority":0, "Type":"NONE" }] } }, "Action":{ "Block":{} } }
  ]' 
  --visibility-config '{
    "SampledRequestsEnabled":true,
    "CloudWatchMetricsEnabled":true,
    "MetricName":"iHubWAF"
  }'

參考資料與原文來源

• React滿分資安漏洞已有多組中國駭客加入利用行列 – https://www.ithome.com.tw/news/172655
• Array Networks旗下VPN設備資安漏洞遭利用，攻擊者以此植入Web Shell – https://www.ithome.com.tw/news/172652
• 從生態系看充電樁之資通安全保護 – https://s.itho.me/ccms_slides/2024/5/22/0d8fcbfa-c339-4c80-bd4f-0eb5843147eb.pdf
• 什麼是資訊安全？資安定義、8大資安風險與防護措施一次看! – https://turingcerts.com/zh/information-security/
• 2025 資訊安全 10 大趨勢，Ai 資安風險與企業新布局 – https://host.com.tw/2025-information-security-trends

🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化，
內容僅供技術研究與學習參考，實際環境請搭配官方公告與資安建議。