Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI y una actualización

Índice

  • Múltiples vulnerabilidades en productos de Siemens
  • Múltiples vulnerabilidades en productos de Bosch
  • Múltiples vulnerabilidades en productos de Rockwell
  • [Actualización 18/08/2025] Ausencia de autenticación en dispositivos de Güralp

Múltiples vulnerabilidades en productos de Siemens

Fecha18/08/2025
Importancia4 - Alta
Recursos Afectados
  • Desigo CC family
  • SENTRON Powermanager;
  • Mendix SAML;
    • Mendix 9.24 compatible, versiones anteriores a la 3.6.21;
    • Mendix 10.12 compatible, versiones anteriores a la 4.0.3;
    • Mendix 10.21 compatible, versiones anteriores a la 4.1.2;
Descripción

Siemens ha informado de 2 vulnerabilidades de severidad alta en varios de sus productos que, en caso de ser explotadas, podrían permitir a un atacante incrementar sus privilegios y robar una cuenta con configuraciones específicas de SSO.

Solución

Para los productos Desigo CC family y SENTRON Powermanager, actualizar el WIBU CodeMeter de la siguiente forma:

Para el producto Mendix SAML, actualizar a la última versión.

Detalle

Las vulnerabilidades son:

  • CVE-2025-47809: Wibu CodeMeter anterior a la versión 8.30a, en ocasiones, permite la escalada de privilegios inmediatamente después de ser instalado (antes de cerrar sesión o reiniciar). Para poder explotarlo debe: (1) haberse realizado una instalación sin privilegios con UAC y (2) estar instalado el componente CodeMeter Control Center sin haberse reiniciado. En este escenario, un usuario local puede navegar desde Importar licencia a una instancia con privilegios del Explorador de Windows.
  • CVE-2025-40758: Las versiones afectadas del módulo no realizan una comprobación de firmas y enlaces suficiente. Esto podría permitir a atacantes remotos no autenticados secuestrar una cuenta con configuraciones SSO específicas.

Múltiples vulnerabilidades en productos de Bosch

Fecha18/08/2025
Importancia4 - Alta
Recursos Afectados
  • Para las vulnerabilidades: CVE-2025-48860, CVE-2025-48861, CVE-2025-48862
    • Bosch Rexroth AG ctrlX OS - Setup
      • Versiones 1.20.0 y 1.20.1;
      • Versiones 2.6.0 y 2.6.1;
      • Versiones de 3.6.0 a 3.6.2;
  • Para la vulnerabilidad CVE-2025-2813
    • Bosch Rexroth AG R-IL ETH BK DI8 DO4 2TX-PAC (R911171726), todas las versiones;
    • Bosch Rexroth AG S20-EIP-BK (R911173904), todas las versiones;
    • Bosch Rexroth AG S20-ETH-BK (R911173905), versiones anteriores a la 1.34;
    • Bosch Rexroth AG S20-PN-BK+ (R911173359), todas las versiones.
Descripción

Bosch ha informado de 4 vulnerabilidades, 3 de severidad alta y 1 media que, en caso de ser explotadas, podrían permitir a un atacante con pocos privilegios acceder a archivos de copias de seguridad realizados por usuarios con más privilegios lo que, dependiendo del contenido del backup, podría permitir al atacante acceder a información sensible.

Solución

Para el producto Bosch Rexroth AG ctrlX OS - Setup hay disponible una actualización. Es posible que después de instalarla deba reiniciar el equipo, lo que hará que el dispositivo no esté disponible durante un corto periodo de tiempo.

Para el acoplador de bus S20-ETH-BK hay disponible una nueva versión de firmware. Para el resto de versiones el fabricante está trabajando en una actualización, mientras tanto, se recomienda realizar las siguientes acciones para mitigar el problema:

  • Si es posible, proteger la red bloqueando el acceso al puerto 80 en los dispositivos afectados.
  • Si debe escanear la red por temas de seguridad en redes de producción próximas al producto afectado, se recomienda que excluya o deshabilite las pruebas de denegación de servicio para el puerto 80.
  • En general, para utilizar estos dispositivos, se recomienda encarecidamente aplicar medidas de segmentación de redes. 
Detalle

Las vulnerabilidades de severidad alta son:

  • CVE-2025-48860: El mecanismo de configuración de la aplicación web de ctrlX OS puede permitir a un atacante no autenticado y con pocos privilegios acceder de forma remota a los archivos de copia de seguridad creados por un usuario con más permisos. En función del contenido de la copia de seguridad el atacante puede acceder a información sensible.
  • CVE-2025-48862: La interfaz web del mecanismo de configuración de ctrlX OS está redactada de forma ambigua lo que podría hacer que el usuario crea que el archivo de copia de seguridad está cifrado cuando se establece una contraseña. Sin embargo, únicamente se cifra la clave privada, si está disponible en la copia de seguridad, mientras que el archivo de copia de seguridad permanece sin cifrar.
  • CVE-2025-2813: Un atacante remoto no autenticado puede provocar una Denegación de Servicio (DoS) enviando gran cantidad de solicitudes al servicio HTTP en el puerto 80.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-48861 y su detalle puede consultarse en los enlaces de las referencias.

Múltiples vulnerabilidades en productos de Rockwell

Fecha18/08/2025
Importancia5 - Crítica
Recursos Afectados
  • FactoryTalk Action Manager;
  • FactoryTalk Viewpoint;
  • FactoryTalk Linx;
  • ControlLogix Ethernet;
  • ArmorBlock 5000 I/O;
  • Micro800;
  • Studio 5000 Logix Designer;
  • FLEX 5000 I/O.

Para conocer las versiones afectadas, consultar los enlaces de las referencias.

Descripción

Rockwell y CISA han informado de 19 vulnerabilidades en los productos Rockwell, 5 de ellas de severidad crítica y 14 altas que, en caso de ser explotadas, podrían permitir una elevación completa de privilegios; la gestión de drivers incluida su creación, actualización y eliminación; y la ejecución remota de código, entre otras.

Solución

Actualizar a la ultima versión del producto.

Para los siguientes modelos de Micro800, no es posible actualizar, por lo que se recomienda migrar al producto indicado en cada caso:

  • PLC Micro820 LC20 - Migrar a Micro820 L20E V 23.011 o posterior, se lanzará en septiembre de 2025.
  • PLC Micro850 LC50 - Migrar a Micro850 L50E V 23.011 o posterior.
  • PLC Micro870 LC70 - Migrar a Micro870 L70E V 23.011 o posterior.
  • PLC - Micro850 L50E - Migrar a V23.011 o posterior.
  • PLC - Micro870 L70E - Migrar a V23.011 o posterior.
Detalle

Las vulnerabilidades detectadas son las siguientes:

  • CVE-2025-7353: Severidad crítica. Vulnerabilidad de tipo inicialización de un recurso de forma insegura por defecto. Puede permitir a un atacante remoto ejecutar volcados de memoria y modificar la memoria así como controlar el flujo de ejecución.
  • CVE-2023-48691 y CVE-2023-48692: Severidad crítica. Vulnerabilidad de tipo dependencia con componente de terceros vulnerable. Un atacante puede ejecutar código en remoto.
  • CVE-2023-48693: Severidad crítica. Vulnerabilidad de tipo dependencia con componente de terceros vulnerable. Un atacante puede realizar lecturas y escrituras arbitrarias, lo que puede dar lugar a una escalada de privilegios.
  • CVE-2025-7693: Severidad critica. Vulnerabilidad de tipo validación inadecuada de la entrada. Se realiza una gestión incorrecta de paquetes CIP Forward Close, lo que hace que el controlador entre en un estado de LED Fallo rojo (red Fault LED) fijo y deje de responder. Al reiniciarlo, el controlador entrará en un fallo recuperable en el que los LED MS y Fault parpadearán en rojo y se informará del código de fallo 0xF015.
  • CVE-2025-7773: Severidad alta. Vulnerabilidad de tipo autenticación incorrecta. Un atacante puede predecir el número de sesión del servidor web.
  • CVE-2025-7774: Severidad alta. Vulnerabilidad de tipo autenticación incorrecta. Un atacante puede interceptar las credenciales de sesión y utilizarlas dentro de una ventana de tiempo de 3 minutos, para realizar acciones que requieren más privilegios de los que realmente tiene.
  • CVE-2025-7861 y CVE-2025-7862: Severidad alta. Vulnerabilidad de tipo validación inadecuada de la entrada. La vulnerabilidad puede hacer que un módulo del producto tenga un fallo de conexión y no sea posible solventarlo hasta que hay un reinicio.
  • CVE-2025-9041 y CVE-2025-9042: Severidad alta. La vulnerabilidad puede hacer que un módulo del producto tenga un fallo de conexión y no sea posible solventarlo hasta que hay un reinicio.
  • CVE-2025-7973: Severidad alta. Vulnerabilidad de tipo ejecución con privilegios innecesarios. Un atacante puede crear un shell con muchos privilegios, lo que permite una escalada completa de privilegios.
  • CVE-2025-7972: Severidad alta. Vulnerabilidad de tipo inadecuado control de acceso. Un atacante puede crear, actualizar y eliminar drivers FTLinx.
  • CVE-2025-7971: Severidad alta. Vulnerabilidad de tipo validación incorrecta de entrada. Un atacante podría ejecutar código malicioso.
  • CVE-2025-9036: Severidad alta. Vulnerabilidad de tipo exposición de información sensible a un actor no autorizado. Un atacante podría acceder a información sensible en tránsito.
  • CVE-2025-8007: Severidad alta. Vulnerabilidad de tipo validación incorrecta de entrada. Se podría producir una caída del sistema y la pérdida de disponibilidad del dispositivo.
  • CVE-2025-8008: Severidad alta. Vulnerabilidad de tipo gestión inadecuada de condiciones excepcionales. Se podría producir la caída del dispositivo.
  • CVE-2025-6377 y CVE-2025-6376: Severidad alta. Vulnerabilidad de tipo validación incorrecta de entrada. Un atacante podría ejecutar código arbitrario en el sistema.

[Actualización 18/08/2025] Ausencia de autenticación en dispositivos de Güralp

Fecha01/08/2025
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de dispositivos de monitoreo sísmico Güralp de la serie FMUS.

Descripción

Souvik Kandar, de MicroSec, ha informado de una vulnerabilidad de severidad crítica que podría permitir a un atacante modificar configuraciones de hardware, manipular datos o restablecer el dispositivo a valores de fábrica.

Solución

No existe solución por el momento.

Se recomienda minimizar la exposición a la red.

Detalle

CVE-2025-8286: falta de autenticación en una función crítica. Los productos afectados exponen una interfaz de línea de comandos basada en Telnet, no autenticada, que podría permitir a un atacante modificar configuraciones de hardware, manipular datos o restablecer el dispositivo a la configuración de fábrica.