Instituto Nacional de ciberseguridad. Sección Incibe

Dos nuevos avisos de SCI

Índice

  • Falta de autenticación en función crítica de productos Yokogawa
  • Múltiples vulnerabilidades en productos Schneider Electric

Falta de autenticación en función crítica de productos Yokogawa

Fecha21/04/2025
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones de los productos Yokogawa:

  • GX10 / GX20 / GP10 / GP20 Paperless Recorders, versiones R5.04.01 y anteriores;
  • GM Data Acquisition System, versiones R5.04.01 y anteriores;
  • DX1000 / DX2000 / DX1000N Paperless Recorders, , versiones R4.21 y anteriores;
  • FX1000 Paperless Recorders, versiones R1.31 y anteriores;
  • μR10000 / μR20000 Chart Recorders, versiones R1.51 y anteriores;
  • MW100 Data Acquisition Units, todas las versiones;
  • DX1000T / DX2000T Paperless Recorders, todas las versiones;
  • CX1000 / CX2000 Paperless Recorders, todas las versiones.
Descripción

Souvik Kandar de MicroSec (Microsec.io) ha descubierto esta vulnerabilidad de severidad crítica que, de ser explotada, permite que un atacante pueda manipular información importante del producto y su configuración.

Solución

Actualmente no existe un parche que solucione el problema, sin embargo, el fabricante recomienda realizar las siguientes acciones como contramedidas:

  • al conectar los productos afectados a la red, activar la función de autenticación (inicio de sesión, login).
  • asegurarse de cambiar la contraseña predeterminada después de activar la función de autenticación.

Asimismo, el fabricante recomienda que toda la infraestructura esté debidamente protegida con configuraciones seguras y productos y soluciones de ciberseguridad debidamente configurados y actualizados.

Detalle

En los productos afectados, la configuración por defecto de la función de autenticación está deshabilitada. Esto hace que cuando el producto se conecta a una red con los valores por defecto, cualquiera pueda acceder a todas las funciones relacionadas con la configuración y operaciones. De esta forma, un atacante podría, de forma no autorizada, manipular y configurar información importante como los valores de medición y propiedades.

Se ha asignado el identificador CVE-2025-1863 a esta vulnerabilidad.


Múltiples vulnerabilidades en productos Schneider Electric

Fecha21/04/2025
Importancia4 - Alta
Recursos Afectados
  • Sage 1410, versiones C3414-500-S02K5_P8 y anteriores;
  • Sage 1430, versiones C3414-500-S02K5_P8 y anteriores;
  • Sage 1450, versiones C3414-500-S02K5_P8 y anteriores;
  • Sage 2400, versiones  C3414-500-S02K5_P8 y anteriores;
  • Sage 4400, versiones C3414-500-S02K5_P8 y anteriores;
  • Sage 3030 Magnum, versiones C3414-500-S02K5_P8 y anteriores.
Descripción

Marlon Schumacher y Alex Armstrong de LLNL, y Vishal Madipadga de SNL, han reportado 5 vulnerabilidades: 2 de severidad alta y 3 de severidad media, cuya explotación podría permitir a un atacante comprometer el dispositivo impactado, provocando la pérdida de datos, pérdida de operación, o el detrimento en el rendimiento del dispositivo.

Solución

Schneider Electric ha lanzado la versión de firmware C3414-500-S02K5_P9 para los productos afectados.

Detalle

Las vulnerabilidades de severidad alta son:

  • Vulnerabilidad de limitación incorrecta de un nombre de ruta a un directorio restringido (Path Traversal), cuya explotación podría permitir a un usuario autenticado con acceso a la interfaz web del dispositivo corromper archivos y afectar a la funcionalidad del dispositivo al enviar una solicitud HTTP manipulada. Se ha asignado el identificador CVE-2024-37037 para esta vulnerabilidad.
  • Vulnerabilidad de permisos predeterminados incorrectos que podría permitir a un usuario autenticado con acceso a la interfaz web del dispositivo realizar cargas no autorizadas de archivos y firmware al elaborar solicitudes web personalizadas. Se ha asignado el identificador CVE-2024-37038 para esta vulnerabilidad.

Se han asignado los identificadores CVE-2024-37039, CVE-2024-37040 y CVE-2024-5560 para las vulnerabilidades de severidad media.