Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Falta de autenticación en una función crítica en Smart PLC AC4xxS de ifm

Fecha de publicación 01/07/2025
Identificador
INCIBE-2025-0350
Importancia
4 - Alta
Recursos Afectados

Smart PLC AC4xxS Firmware versiones:

  • Desde V4.04 hasta V4.3.17;
  • V6.1.8.
Descripción

CERT@VDE en coordinación con ifm electronic GmbH ha informado de una vulnerabilidad de severidad alta que podría permitir a un un atacante, no autorizado, emitir comandos maliciosos al PLC, lo que podría interrumpir o dañar la línea de producción.

Solución

Actualmente no existe una actualización que resuelva el problema. Para evitar ser afectado por la vulnerabilidad, se recomienda tomar medidas para garantizar que los componentes no tengan acceso directo a recursos de Internet ni que se pueda acceder a ellos desde redes inseguras. Asimismo, se debe utilizar las medidas de seguridad, como la autenticación y los grupos de autorización.

Para el PLC con firmware V6.1.8, se puede desactivar su interfaz http.

Detalle

El endpoint aloja un script que permite a un atacante remoto no autorizado, a través de la red, poner el sistema en un estado a prueba de fallos, debido a la falta de autenticación. 

Se ha asignado el identificador CVE-2024-8419 para esta vulnerabilidad.