Els pirates informàtics podrien controlar aquestes plantes connectades de forma remota, modificant-ne el reg o la il·luminació.

Gardyn, firma especialitzada en jardins hidropònics, hauria estat víctima de quatre errors en el programari que podrien haver permès a pirates informàtics prendre el control a distància dels seus dispositius, segons ha comunicat l’agència de ciberseguretat CISA.

Aquesta empresa nord-americana, fundada el 2018, produeix i ven sistemes de jardineria interior que permeten conrear verdures, herbes, flors i altres aliments sense terra i amb molt poca intervenció humana. Tenen il·luminació LED automatitzada, circulació d’aigua enriquida amb nutrients i monitorització impulsada per IA. 

La CISA ha alertat sobre dues vulnerabilitats crítiques i dues d’alta gravetat descobertes als horts intel·ligents de la firma, inclosos els models Gardyn Home i Gardyn Studio.

La primera (CVE-2025-2961) permetia executar ordres arbitràries del sistema operatiu als dispositius d’autenticació, atorgant control total sobre el kit de jardí. A la segona (CVE-2025-1242) s’exposaven les contrasenyes amb codi fix, que podrien ser usades per obtenir accés administratiu complet al Gardyn IoT Hub.

Pel que fa a les vulnerabilitats d’alta gravetat, se’n va trobar una (CVE-2025-29628) que facilitava informació confidencial enviada en text clar a través d’Azure IoT Hub, susceptible a atacs de tipus Man-in-the-Middle (MitM). La darrera (CVE-2025-29629) possibilitava l’accés remot via SSH mitjançant contrasenyes per defecte. 

Michael Groberman, l’investigador de ciberseguretat a qui CISA atribueix l’informe de les vulnerabilitats, ha publicat els seus avisos, estimant que aproximadament 138.000 dispositius es van veure afectats.

Molt ‘verds’ en protecció de dades

En converses amb SecurityWeek l’expert va comentar que les vulnerabilitats de gravetat crítica podrien haver estat explotades de manera remota des d’Internet sense autenticació ni interacció de l’usuari de cap mena. 

El fabricant de jardins hidropònics indica a l’avís que a través d’aquestes bretxes un atacant podria aprofitar les fallades per prendre el control remot d’un dispositiu, fins i tot per modificar la il·luminació o el reg de les plantes. 

Els pirates informàtics també podrien haver obtingut accés a fotos de les plantes i informació personal limitada, com ara nom, adreça, correu electrònic i número de telèfon.

Tot i això, Gardyn assegura que de moment no hi ha indicis que cap ciberdelinqüent hagi aprofitat aquests errors per piratejar jardins reals. Tampoc sembla que s’hagi exposat informació molt delicada, com ara targetes de pagament.

Groberman ha reconegut que la seva investigació es va basar en les troballes d’un altre investigador, Kristof Mattei, que les va donar a conèixer a l’estiu de l’any passat. Quan Mattei va fer la seva revelació original sembla que el proveïdor ja havia pres algunes mesures per abordar les vulnerabilitats.