Un edificio tedesco è andato avanti sugli interruttori automatici
Nell'ottobre 2021 uno stabilimento di medie dimensioni di un'azienda tedesca di ingegneria ha perso gli interruttori della luce. Non la luce, gli interruttori. Il personale raggiungeva il quadro elettrico e azionava i magnetotermici a mano, perché i comandi dell'edificio non rispondevano più. Il comando delle tapparelle è sparito allo stesso modo. Diverse centinaia di componenti KNX stavano dentro pareti e soffitti senza fare assolutamente nulla, e tre quarti di essi erano fuori servizio.
Limes Security, la società austriaca che ha documentato il caso, ha ricostruito l'accaduto. Gli attaccanti avevano raggiunto il bus KNX attraverso internet, avevano scaricato i dispositivi e poi avevano impostato loro stessi la chiave BCU. La chiave è la serratura del bus. Chi la imposta, la detiene. Il proprietario non la deteneva.
Ogni costruttore contattato dall'azienda ha detto la stessa cosa: nessun ripristino è possibile, i dispositivi sono inutilizzabili. La sostituzione integrale è stata quotata oltre 100.000 EUR di solo hardware. Limes Security ha infine recuperato la chiave estraendo la memoria della CPU e restringendo lo spazio di forza bruta quanto bastava perché la ricerca arrivasse in fondo. Il caso è noto come KNXlock, e non è mai stato chiesto un riscatto.
Ciò che CISA ha fatto davvero il 15 luglio
Il 15 luglio 2026 CISA ha aggiunto CVE-2023-4346 al proprio catalogo delle vulnerabilità sfruttate note, pubblicato nella versione di catalogo 2026.07.16 il 16 luglio alle 17:00:15Z. La scadenza per la correzione è il 29 luglio 2026. Sono quattordici giorni. Altre voci della stessa tornata di luglio hanno ricevuto tre giorni.
La falla è nel protocollo KNX della KNX Association, in particolare in Connection Authorization Option 1. È classificata CWE-645, un blocco account eccessivamente restrittivo, e porta CVSS 7.5 HIGH con vettore AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Quel punteggio è reale e non la lettura di un fornitore: NVD mantiene un primario 7.5 da [email protected]. CISA registra l'uso noto in campagne ransomware come sconosciuto. Il CVE è stato pubblicato il 29 agosto 2023 e modificato l'ultima volta il 16 luglio 2026.
Nulla del problema di fondo è nuovo, e nemmeno il testo che lo descrive lo è. L'avviso ICSA-23-236-01 di CISA è un documento del 2023, segnalato da Felix Eberstaller di Limes Security. KNXlock è un incidente del 2021. L'unico fatto nuovo è l'inserimento nel KEV e l'orologio che vi è attaccato. È cambiata l'applicazione, non la vulnerabilità.
Non c'è patch, e il punto è proprio questo
Nessun aggiornamento software risolve questo. L'avviso di CISA delimita l'esposizione ai dispositivi KNX che usano Connection Authorization Option 1 Style nei quali attualmente non è impostata alcuna chiave BCU, tutte le versioni. Leggetelo con attenzione. La condizione non è una build di firmware vecchia. La condizione è un'impostazione vuota.
Il rimedio è impostare la chiave BCU. È un'azione di configurazione eseguita durante la messa in servizio, nel file di progetto dell'integratore, sul bus fisico. Non arriva con un ciclo di patch. Non può essere distribuita da una console di gestione. È invisibile agli strumenti che il vostro team di sicurezza già usa, perché quegli strumenti cercano versioni e questo non è un problema di versione.
Sono i metadati dell'avviso a dire il resto ad alta voce. Paesi e aree di installazione: Europa. Sede della società: Belgio. Settore: Critical Manufacturing. Una scansione di Alpha Strike Labs, eseguita nel 2023, ha trovato più di 16.000 sistemi potenzialmente vulnerabili nell'area DACH. Quel numero ha tre anni e va letto come un'istantanea del 2023, non come il conteggio di oggi.
Perché è sopravvissuta tre anni
La lacuna è organizzativa, non tecnica. Impostare una chiave BCU spetta a chi ha messo in servizio l'edificio. È un integratore o un manutentore, che lavora da un file di progetto, spesso di anni fa, spesso con un contratto chiuso alla consegna. Quella persona non è nel vostro team di sicurezza e in molti casi non risponde più alle vostre chiamate.
Così la segnalazione atterra in una coda IT dove nessuno possiede il rimedio. Il team di sicurezza vede l'avviso e non può agire. Il team tecnico dell'edificio può agire e l'avviso non lo vede mai. In quella cucitura sono passati tre anni. MITRE ha aggiunto la tecnica ad ATT&CK for ICS come T0892, Change Credential, nella primavera del 2023, dando un nome al metodo senza darlo al responsabile.
Anche il modello di perdita spiega la trascuratezza. La maggior parte dei budget di sicurezza è costruita attorno a un pagamento o a un obbligo di protezione dei dati, e questa modalità di guasto non ha né l'uno né l'altro. Nessuno ha chiesto denaro all'azienda tedesca e nessun dato personale si è mosso. L'attaccante ha semplicemente impostato la chiave, i costruttori hanno confermato che non c'era via di ritorno, e la fattura dell'hardware ha comunque superato 100.000 EUR.
La scadenza non vi vincola, l'esposizione sì
Chiarezza sull'ambito. La data del 29 luglio 2026 nasce dalla Binding Operational Directive BOD 26-04 di CISA e vincola le agenzie civili federali statunitensi. Non vincola giuridicamente un proprietario europeo. Se il vostro patrimonio è a Francoforte o a Manchester, nessuna direttiva americana vi obbliga a fare alcunché entro quella data.
L'asimmetria è la notizia. Gli edifici sono in stragrande maggioranza europei, lo standard è europeo, la sua associazione ha sede in Belgio e la scadenza vincolante è americana. Nella nostra lettura l'aggancio europeo è NIS2 e non la data di CISA, e la offriamo come lettura nostra e non come legge. Gli obblighi NIS2 dipendono dal vostro settore e dai vostri doveri di gestione del rischio, e un bus di automazione degli edifici raggiungibile da internet è un fatto di gestione del rischio, qualunque calendario seguiate.
L'azione sta in una frase e non va all'IT. Chiedete al vostro integratore o al vostro manutentore due cose: il bus KNX è raggiungibile da internet, ed è mai stata impostata una chiave BCU alla messa in servizio. Se la risposta alla seconda è no, o se nessuno trova il file di progetto per dirvelo, siete nell'ambito descritto da CISA e siete a un percorso raggiungibile da internet dall'esito dell'ottobre 2021.
Da leggere ora: Un token falso apre ogni PC che lo strumento gestisce | I vostri seed MFA erano già usciti prima della patch



