Domenica 05 Luglio 2026 20:03:32 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Industrial Cybersecurity & Critical Infrastructure

Sbloccati e non sorvegliati: i controller per edifici Honeywell lasciano le porte spalancate agli hacker

Pubblicato: 04 Marzo 2026 15:36Categoria: Industrial Cybersecurity & Critical InfrastructureArea: North AmericaAutore: KERNELWATCHER

Sottotitolo: Una svista di progettazione nei popolari controller per edifici di Honeywell mette a rischio migliaia di sistemi critici, esponendoli a dirottamenti da remoto-senza nemmeno una password.

È il tipo di errore di sicurezza che tiene svegli la notte i responsabili degli edifici-se non fosse che la maggior parte non ha idea che si annidi dentro le proprie mura. Questo marzo, i ricercatori hanno rivelato che la serie Trend IQ4xx di Honeywell, una colonna portante dell’automazione degli edifici in tutto il mondo, viene distribuita con la sua potente interfaccia web sbloccata per impostazione predefinita. Il risultato? Chiunque abbia accesso alla rete può prenderne il controllo, creare nuovi account amministratore e persino escludere gli operatori legittimi-tutto prima ancora che venga impostata una singola password.

L’anatomia di un sistema sbloccato

I controller IQ4xx-responsabili di riscaldamento, ventilazione, illuminazione e altro-sono essenziali negli edifici moderni. Ma una svista critica fa sì che questi dispositivi, nello stato di fabbrica, non richiedano alcun login. L’interfaccia Uomo-Macchina (HMI) basata sul web è completamente aperta, concedendo pieni privilegi di “System User” (il livello più alto) a chiunque riesca a raggiungerla. Questo include non solo i tecnici locali, ma potenzialmente qualsiasi attaccante remoto che si imbatta nel dispositivo su una rete piatta o tramite accesso remoto configurato in modo errato.

Ancora peggio, la pagina di creazione utenti del sistema (U.htm) è accessibile prima che venga configurata qualsiasi autenticazione. Un aspirante attaccante può semplicemente visitare questa pagina, creare un nuovo account amministratore con le proprie credenziali e bloccare all’istante gli operatori dell’edificio-di fatto prendendo il controllo dell’intero sistema. Un endpoint diagnostico nascosto (/^.htm) amplia ulteriormente la superficie d’attacco, offrendo approfondimenti più dettagliati sul sistema a utenti non autenticati.

I vendor rispondono, ma basta?

La risposta di Honeywell è stata ricordare ai clienti che i dispositivi sono pensati solo per l’uso on-premise e non dovrebbero essere lasciati esposti a Internet. Ma le implementazioni nel mondo reale raramente sono così ordinate: reti piatte, VPN e gestione remota sono comuni, e sono stati trovati online migliaia di controller. Gli esperti di sicurezza sostengono che la “sicurezza tramite isolamento” non è un sostituto di una progettazione secure-by-default-soprattutto quando una singola impostazione trascurata può consegnare le chiavi del regno.

Nonostante i ripetuti avvertimenti dei ricercatori di Zero Science Lab, Honeywell non ha ancora rilasciato una patch né assegnato un CVE alla falla. Invece, l’onere ricade sui clienti: creare immediatamente un account utente durante la configurazione, isolare i dispositivi con firewall e monitorare con attenzione eventuali segnali di compromissione. Script proof-of-concept stanno ormai circolando, rendendo lo sfruttamento facile quanto eseguire un file Python.

Il quadro più ampio

Questo incidente è un promemoria inequivocabile: nel mondo dei sistemi di controllo industriale e degli edifici, le impostazioni predefinite possono essere un sabotatore silenzioso. Man mano che gli edifici diventano più intelligenti, l’anello debole non è sempre un hacker-spesso è una casella di spunta dimenticata. Finché vendor come Honeywell non tratteranno la sicurezza come una base, e non come un ripensamento, le porte resteranno spalancate.

WIKICROOK

  • Umano: Un umano è un individuo che interagisce con sistemi digitali, spesso fornendo supervisione, validazione e capacità decisionale nei processi di cybersecurity come l’HITL.
  • Configurazione predefinita: La configurazione predefinita è l’assetto preimpostato di un sistema o dispositivo, spesso privo di una sicurezza robusta, e dovrebbe essere modificata per proteggersi dalle minacce informatiche.
  • Livello di privilegio: Il livello di privilegio è la quantità di accesso o controllo che un utente o un processo ha su un sistema, influenzando quali azioni può eseguire.
  • Proof: Un Proof-of-Concept (PoC) è una dimostrazione che mostra che una vulnerabilità di cybersecurity può essere sfruttata, aiutando a validare e valutare i rischi reali.
  • Rete piatta: Una rete piatta ha poca o nessuna segmentazione, consentendo ai dispositivi di comunicare liberamente e rendendo più facile la diffusione delle minacce nella rete.