Cinco nuevos avisos de SCI
Índice
- Discrepancia observable en productos de Hitachi Energy
- Escritura fuera de los límites establecidos en DICOM Viewer de MicroDicom
- Múltiples vulnerabilidades en productos de AVEVA
- Ejecución en remoto de código en Telex RDC Server y RTS VLink Virtual Matrix de BOSCH
- Múltiples vulnerabilidades en dispositivos SinoTrack
Discrepancia observable en productos de Hitachi Energy
- Relion 670, versión 2.2.0;
- Relion 670, versión 2.2.1;
- Relion 650, versión 2.2.0;
- Relion 650, versión 2.2.1;
- Relion 670, versiones 2.2.2.0 hasta 2.2.2.5;
- Relion 670, versiones 2.2.3.0 hasta 2.2.3.6;
- Relion 670, versiones 2.2.4.0 hasta 2.2.4.3;
- Relion 650, versiones 2.2.4.0 hasta 2.2.4.3;
- Relion 670, versiones 2.2.5.0 hasta 2.2.5.5;
- Relion 650, versiones 2.2.5.0 hasta 2.2.5.5;
- SAM600-IO, versión 2.2.1;
- SAM600-IO, versiones desde 2.2.5.0 hasta 2.2.5.5 excluida.
Los productos Relion y SAM600-IO de Hitachi Energy presentan una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante descifrar datos en tránsito de la aplicación.
Para los siguientes productos actualizar a la versión indicada o posterior:
- Relion 670 series, versión 2.2.2: actualizar a la versión 2.2.2.6;
- Relion 670 series, versión 2.2.3: actualizar a la versión 2.2.3.7;
- Relion 670/650 series, versión 2.2.4: actualizar a la versión 2.2.4.3;
- Relion 670/650/SAM600-IO series, versión 2.2.5: actualizar a la versión 2.2.5.6.
Para los siguientes productos no existe un parche que solucione el problema:
- Relion 670/650 series, versión 2.2.0;
- Relion 670/650/SAM600-IO series, versión 2.2.1.
Sin embargo se recomienda tener aplicadas las siguientes medidas de seguridad para intentar evitar verse afectado por el problema:
Los sistemas de control de procesos deben estar físicamente protegidos y evitar el acceso de personal no autorizado. Los dispositivos no deben tener conexión directa a Internet y debe haber una correcta segmentación de redes, así como, también debe haber un cortafuegos con el menor número de puertos expuestos. Los sistemas de control de procesos no deben usarse para navegar por Internet y/o enviar y recibir mensajes. Los ordenadores portátiles y los medios de almacenamiento extraíbles, deben escanearse cuidadosamente en busca de virus antes de conectarlos a un sistema de control. Se debe seguir políticas y procesos de contraseñas adecuados.
OpenSSL RSA tiene un canal lateral basado en el tiempo en la implementación de descifrado; esto podría servir para recuperar un texto plano en una red, en un ataque al estilo de Bleichenbacher. Para lograr que el descifrado sea exitoso, es necesario que un atacante envíe un gran número de mensajes de prueba para descifrar. La vulnerabilidad afecta a todos los modos de relleno de RSA: PKCS-1 v1.5, RSA-OEAP y RSASVE. Por ejemplo, en una conexión TLS, RSA es comúnmente utilizado por un cliente para enviar un secreto pre-maestro cifrado al servidor. Un atacante que haya observado una conexión legítima entre un cliente y un servidor podría utilizar este defecto para enviar mensajes de prueba al servidor y registrar el tiempo que tarda en procesarlos. Después de un número suficientemente grande de mensajes, el atacante podría recuperar el secreto pre-master utilizado para la conexión original, descifrando así los datos de la aplicación enviados a través de esa conexión.
Se ha asignado el identificador CVE-2022-4304 a esta vulnerabilidad.
Escritura fuera de los límites establecidos en DICOM Viewer de MicroDicom
DICOM Viewer, versiones 2025.2 (Build 8154) y anteriores.
Michael Heinzl ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar código arbitrario en las instalaciones afectadas con DICOM Viewer.
MicroDicom recomienda a los usuarios actualizar DICOM Viewer a la versión 2025.3 o posterior.
DICOM Viewer tiene una vulnerabilidad de escritura fuera de límites, la cual podría permitir a un atacante remoto ejecutar código arbitrario en las instalaciones afectadas con DICOM Viewer. Se requiere la interacción del usuario para explotar la vulnerabilidad, ya que el usuario debe visitar un sitio web malicioso o abrir un archivo DICOM malicioso localmente.
Se ha asignado el identificador CVE-2025-5943 para esta vulnerabilidad.
Múltiples vulnerabilidades en productos de AVEVA
- PI Data Archive 2018 SP3 Patch 4 y anteriores;
- PI Data Archive 2023 y 2023 Patch 1;
- PI Server 2018 SP3 Patch 6 y anteriores;
- PI Server 2023 y 2023 Patch 1;
- PI Web API, versión 2023 SP1 y anteriores;
- PI Connector para CygNet, versión 1.6.14 y anteriores.
Aveva ha publicado 5 vulnerabilidades: 2 de severidad alta y 3 de severidad media que podrían provocar una denegación de servicio (DoS) en caso de ser explotadas.
Actualizar a las siguientes versiones correspondientes:
- PI Server 2024.
- PI Server 2018 SP3 Patch 7.
- PI Web API 2023 SP1 Patch 1 o posterior.
- PI Connector for CygNet v1.7.0 o posterior.
Las vulnerabilidades de severidad alta podría permitir a un atacante autenticado cerrar ciertos subsistemas necesarios de PI Data Archive, provocando una denegación de servicio. Se han asignado los identificadores CVE-2025-44019 y CVE-2025-36539 para estas vulnerabilidades.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-2745, CVE-2025-4417 y CVE-2025-4417.
Ejecución en remoto de código en Telex RDC Server y RTS VLink Virtual Matrix de BOSCH
- RTS VLink Virtual Matrix Software para Windows:
- Versión 5.
- Versiones desde la 6.0.0 hasta la 6.6.0, excluida.
- Telex Remote Dispatch Console Server para Windows:
- Versiones desde la 1.0.0 hasta la 1.3.0, excluida.
Omer Shaik ha descubierto esta vulnerabilidad, de severidad crítica que, en caso de ser explotada podría permitir la ejecución remota de código (RCE).
Actualizar el producto a las siguientes versiones:
- Telex Remote Dispatch Console Server, versión 1.3.0;
- VLink Virtual Matrix Software, actualizar a la versión 6.6.0, tanto si se estaba empleando la versión 5, como la 6.
En caso de duda puede consultar las instrucciones de actualización de VLink.
Debido a la severidad de la vulnerabilidad, se recomienda actualizar cuanto antes. No obstante, si esto no es posible, se recomienda, como medida de mitigación, bloquear en el cortafuegos los puertos de interfaz web (80 y 443) para RTS VLink Virtual Matrix Software o Telex RDC Server. De esta forma se previene que la vulnerabilidad pueda ser explotada en remoto.
La vulnerabilidad es de tipo control inadecuado de generación de código (code injection) y se encuentra en la REST API, su explotación permite a usuarios, no autorizados, ejecutar de forma remota código arbitrario en el servidor.
Se ha asignado el identificador CVE-2025-29902 a esta vulnerabilidad.
Múltiples vulnerabilidades en dispositivos SinoTrack
SinoTrack IOT PC Platform: todas las versiones.
Raúl Ignacio Cruz Jiménez ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante acceder a los perfiles de dispositivo sin autorización a través de la interfaz de gestión web común. El acceso al perfil del dispositivo podría permitir a un atacante realizar algunas funciones remotas en vehículos conectados, como rastrear la ubicación del vehículo y desconectar la alimentación de la bomba de combustible cuando sea compatible.
SinoTrack no respondió a la solicitud de coordinación de CISA. Para más información, contacte con SinoTrack.
- CVE-2025-5484: Vulnerabilidad de autenticación insuficiente en dispositivos SinoTrack. Para acceder a la interfaz de gestión de dispositivos SinoTrack se necesita un nombre de usuario y una contraseña. El nombre de usuario es un identificador impreso en el propio dispositivo, y la contraseña por defecto, común a todos, no se exige cambiar durante la configuración. Un atacante puede obtener estos identificadores físicamente o a través de fotos publicadas en sitios web.
- CVE-2025-5485: Vulnerabilidad de discrepancia observable en la respuesta. Los nombres de usuario en la interfaz web de gestión son simples identificadores numéricos de hasta 10 dígitos. Un atacante puede adivinar otros usuarios probando secuencias numéricas cercanas o generando combinaciones aleatorias.