Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Restricción inadecuada de comunicación en ISO 15118-2 para cargadores de vehículos eléctricos
  • Múltiples vulnerabilidades en TropOS de Hitachi Energy

Restricción inadecuada de comunicación en ISO 15118-2 para cargadores de vehículos eléctricos

Fecha31/10/2025
Importancia4 - Alta
Recursos Afectados

Norma ISO 15118: Parte 15118-2, requisitos de protocolos de red y aplicación.

Descripción

Mark I. Johnson, del Southwest Research Institute, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría dar lugar a ataques de tipo 'Man-in-the-Middle'.

Solución

La ISO recomienda utilizar TLS para todas las comunicaciones de conformidad con la norma ISO 15118-20. Si bien el uso de TLS se recomienda en la norma ISO 15118-2, es obligatorio en la revisión de la norma ISO 15118-20. TLS debe implementarse verificando la cadena completa de certificados.

Detalle

Una vulnerabilidad en la implementación del protocolo SLAC (Signal Level Attenuation Characterization) dentro de la norma ISO 15118-2 permite que un atacante manipule las mediciones del enlace y establezca un canal de comunicación fraudulento entre el vehículo eléctrico (EV) y el cargador.

Esto puede posibilitar un ataque 'Man-in-the-Middle' (MITM), explotable de forma inalámbrica y en proximidad cercana mediante inducción electromagnética.

Se ha asignado el identificador CVE-2025-12357 para esta vulnerabilidad.

Múltiples vulnerabilidades en TropOS de Hitachi Energy

Fecha31/10/2025
Importancia4 - Alta
Recursos Afectados
  • TropOS 4th Gen Firmware: versión 8.9.6.0 y anteriores (CVE-2025-1036, CVE-2025-1037);
  • TropOS 4th Gen Firmware: versiones anteriores a 8.9.6.0 (CVE-2025-1038).
Descripción

Riley Barello-Myers, de Idaho National Laboratory - CyTRICS, ha reportado 3 vulnerabilidades de severidad alta, cuya explotación podría permitir la inyección de comandos y la escalada de privilegios.

Solución

Hitachi Energy recomienda a los usuarios actualizar a la versión 8.9.7.0 lo antes posible.

Detalle
  • CVE-2025-1036: vulnerabilidad de inyección de comandos. Un usuario autenticado, con acceso de red de bajos privilegios, puede ejecutar comandos arbitrarios en el sistema operativo subyacente para obtener acceso SSH de root al dispositivo TropOS 4th Gen.
  • CVE-2025-1037: al aplicar pequeños cambios en la configuración del dispositivo TropOS 4th Gen, un usuario autenticado con acceso a un intérprete de comandos en modo usuario, puede habilitar acceso SSH a un terminal con privilegios elevados. Esto se consigue por el uso indebido de un conjunto concreto de scripts y ejecutables que permiten la ejecución de determinados comandos como root desde un contexto sin privilegios.
  • CVE-2025-1038: la página 'Diagnostics Tools' del panel web de TropOS 4th Gen no valida la entrada del usuario, permitiendo que un usuario autenticado con altos privilegios inyecte comandos en el terminal. Esos comandos pueden ejecutar aplicaciones SUID y resultar en una escalada a root.