Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Moxa

Fecha de publicación 06/02/2026
Identificador
INCIBe-2026-096
Importancia
4 - Alta
Recursos Afectados
  • Productos de la serie UC, OS image (MIL v3.4.1):
    • UC-1200A Series, v1.4 y anteriores;
    • UC-2200A Series, v1.4 y anteriores;
    • UC-3400A Series, v1.2 y anteriores;
    • UC-4400A Series, v1.3 y anteriores;
    • UC-8200 Series, v1.5 y anteriores;
  • Productos de la serie V, OS image (MIL3):
    • V1200 Series, v1.2.0 y anteriores;
  • Productos de la serie V2406C Series, OS image (MIL2):
    • V2406C WL Models, v1.2 y anteriores.
Descripción

Cyloq ha descubierto 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir realizar denegaciones de servicio temporales y el descifrado offline de contenidos eMMC.

Solución

Para los productos de las Series UC y V hay un parche que resuelve la vulnerabilidad CVE-2026-0714 que es conveniente descargar con el siguiente comando según el producto (sin las comillas):

  • UC-1200A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-am64x=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-2200A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-am64x=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-3400A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-am62x=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-4400A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-imx8mp=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-8200 Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-imx7d=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • V1200 Series:'$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-imx8mp=5.10.234-cip57-rt25-moxa9-1+deb11u2'

Una vez descargado el parche, habría que reiniciar el sistema y asegurarse de que el producto está actualizado a la última versión con los siguientes comandos, sin las comillas:

'$ sudo reboot'
'$ dpkg-query -W linux-image-5.10.0-cip-rt-moxa*'

Para el producto de la serie V2406C y en todos los casos para la otra vulnerabilidad, no existe un parche que solucione el problema, pero se recomienda realizar las siguientes acciones de mitigación:

  • Para los usuarios de las Series UC y V, se recomienda cambiar la contraseña por defecto del gestor de arranque. Puede encontrar más información de cómo hacerlo en el manual de "Moxa Industrial Linux 3.x (Debian 11) Arm-based Computers Manual (with Security Hardening Guide)" versión 3.1 o posterior, página 123.
  • Para los modelos V2406C WL, ejecute el dispositivo en un entorno con control de acceso físico.
  • En cualquier caso, se recomienda tener las redes, los dispositivos físicos y sus acceso físicos debidamente securizados.
Detalle
  • CVE-2026-0714:  algunos productos de Moxa que emplean cifrado completo de disco TPM-backed LUKS en Moxa Industrial Linux 3, cuando el TPM discreto está conectado a la CPU mediante un bus SPI, tienen una vulnerabilidad de ataque físico. Para explotar la vulnerabilidad es preciso realizar un acceso físico invasivo, lo que implica abrir el dispositivo y añadir un aparato externo al bus SPI que capture las comunicaciones TPM. Si el ataque tiene éxito, los datos capturados pueden permitir el descifrado offline de los contenidos eMMC. No es posible explotar el ataque el remoto y para hacerlo se necesita no solo tener acceso físico al dispositivo, sino también disponer de unos aparatos adecuados y tiempo suficiente para capturar las señales y analizarlas.
  • CVE-2026-0715: los dispositivos Moxa Arm-based que ejecutan Moxa Industrial Linux Secure emplean una contraseña para el gestor de arranque que está almacenada en el dispositivo y es única por dispositivo. Un atacante con acceso físico al dispositivo podría emplear esta información para acceder al menú del gestor de arranque a través de una interfaz serie. Aunque el acceso al menú del gestor de arranque no sirve para obtener un control total del dispositivo o realizar una escalada de privilegios, sí es posible realizar el flasheo de imágenes firmadas por Moxa. En consecuencia, un atacante no puede instalar un firmware malicioso o ejecutar código arbitrario; sin embargo, sí puede provocar denegaciones de servicio temporales si reflashea una imagen válida.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-0714 alta no Moxa
CVE-2026-0715 alta no Moxa
Listado de referencias
Moxa (MPSA-255121) - CVE-2026-0714, CVE-2026-0715: Multiple Vulnerabilities in Industrial Computers
Etiquetas