Múltiples vulnerabilidades en productos de Rockwell Automation

Fecha de publicación 15/10/2025

Identificador

INCIBE-2025-0563

Importancia

5 - Crítica

Recursos Afectados

FactoryTalk Linx: 6.40 y anteriores (CVE-2025-9067 y CVE-2025-9068);
Comunicaciones - 1783-NATR: 1.006 y anteriores (CVE-2025-7328, CVE-2025-7329, CVE-2025-7330);
FactoryTalk View Machine Edition: versiones anteriores a V15.00 (CVE-2025-9064);
PanelView Plus 7 Serie de rendimiento B: V14.100 (CVE-2025-9063);
GuardLogix® 5370 compacto: versión 30.012 y anteriores (CVE-2025-9124);
Terminal Panel View Plus 7: versión 14 y anteriores (CVE-2025-9066);
ArmorStart® AOP: V2.05.07 (CVE-2025-9437);
Adaptador Ethernet/IP 1715-AENTR: versión 3.003 y anteriores (CVE-2025-9177 y CVE-2025-9178).

Descripción

Rockwell Automation, ha publicado 12 vulnerabilidades: 1 de severidad crítica y 11 de severidad alta, que de ser explotadas podrían permitir a un atacante provocar una denegación de servicio, un fallo grave e irrecuperable, eliminar cualquier archivo del sistema operativo o acceder a información sensible.

Solución

Según el producto, actualizarlo a la siguiente versión:

FactoryTalk Linx: 6.50 y posteriores.
Comunicaciones - 1783-NATR: 1.007 y posteriores.
FactoryTalk View Machine Edition: V15.00 y posteriores en ASEM 6300 IPC y parche BF31001.
PanelView Plus 7 Serie de rendimiento B: V14.103paquete de firmware.
GuardLogix® 5370 compacto: Versión 30.14 y posteriores.
Terminal Panel View Plus 7: performance Series A v12, v13, v14 parche AID BF30506 (corrección de firmware).
ArmorStart® AOP: No disponible.
Adaptador Ethernet/IP 1715-AENTR: versión 3.011 y posteriores.

Detalle

CVE-2025-7328: vulnerabilidad de severidad crítica. Existen múltiples problemas de seguridad de autenticación en el producto afectado. Esto podría provocar una posible denegación de servicio, la apropiación de cuentas de administrador o modificaciones de las reglas NAT, lo que podría permitir la modificación de la configuración y requerir acceso físico para la restauración.
CVE-2025-7329: vulnerabilidad de severidad alta de Cross-Site Scripting almacenado en el producto afectado que podría permitir que un usuario malintencionado acceda a datos confidenciales o haga que la página web no esté disponible.
CVE-2025-7330: vulnerabilidad de severidad alta. Esta se debe a la falta de comprobaciones CSRF en el formulario afectado. Esto permite modificaciones no intencionadas de la configuración si un atacante logra convencer a un administrador conectado para que visite un enlace manipulado.
CVE-2025-9067 y CVE-2025-9068: vulnerabilidades de severidad alta. Estas provocan un problema de seguridad en el archivo de instalación de Microsoft (MSI) x86, instalado con FTLinx. Atacantes autenticados con credenciales de usuario válidas de Windows pueden iniciar una reparación y secuestrar la ventana de consola resultante. Esto permite ejecutar un símbolo del sistema con privilegios de nivel SISTEMA, lo que permite acceso completo a todos los archivos, procesos y recursos del sistema.
CVE-2025-9064: vulnerabilidad de severidad alta. Esta permite a atacantes no autenticados en la misma red que el dispositivo eliminar cualquier archivo del sistema operativo del panel. La explotación de esta vulnerabilidad depende del conocimiento de los nombres de los archivos que se eliminarán.
CVE-2025-9063: vulnerabilidad de severidad alta. La explotación de esta vulnerabilidad permite el acceso no autorizado al PanelView Plus 7 Serie B, incluyendo el acceso al sistema de archivos, la recuperación de información de diagnóstico, los registros de eventos, etc.
CVE-2025-9124: vulnerabilidad de severidad alta. El problema de seguridad se debe a un fallo que se produce al enviar un mensaje explícito CIP no conectado, creado por un usuario. Esto puede provocar un fallo grave e irrecuperable.
CVE-2025-9066: vulnerabilidad de severidad alta. Esta podría permitir a los atacantes no autenticados lograr XXE. Ciertas solicitudes SOAP pueden ser utilizadas indebidamente para realizar XXE, lo que resulta en una denegación de servicio temporal.
CVE-2025-9437: vulnerabilidad de severidad alta. Esta vulnerabilidad se debe a la introducción de valores no válidos en los métodos del Modelo de Objetos Componentes (COM).
CVE-2025-9177: vulnerabilidad de severidad alta. Existe un problema de seguridad de denegación de servicio en el producto y la versión afectados. El problema de seguridad se debe a un alto número de solicitudes enviadas al servidor web. Sin embargo, esto podría provocar un fallo del servidor web; no afecta el control de E/S ni la comunicación. Es necesario reiniciar el sistema para recuperar y utilizar la página web.
CVE-2025-9178: vulnerabilidad de severidad alta. Existe un problema de seguridad de denegación de servicio en el producto y la versión afectados. El problema de seguridad se debe a la comunicación CIP mediante cargas útiles manipuladas. Este problema podría provocar la interrupción de la comunicación CIP con el adaptador EtherNet/IP 1715. Es necesario reiniciar para recuperar el sistema.