Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de SCI

Índice

  • Omisión de autenticación en Dingtian
  • Múltiples vulnerabilidades en productos mySCADA
  • Múltiples vulnerabilidades en productos Qardio
  • Múltiples vulnerabilidades en IAP-20 de ORing

Omisión de autenticación en Dingtian

Fecha14/02/2025
Importancia5 - Crítica
Recursos Afectados

Están afectadas las siguientes versiones de Dingtian DT-R0 Series:

  • DT-R002, versión V3.1.3044A;
  • DT-R008, versión V3.1.1759A;
  • DT-R016, versión V3.1.2776A;
  • DT-R032, versión V3.1.3826A.
Descripción

Cumhur Kizilari (Zeus) reportó esta vulnerabilidad que permite a los atacantes omitir el registro en el producto.

Solución

El fabricante aún no ha proporcionado un parche ni ha indicado ninguna medida de mitigación, por lo que se recomienda a los clientes que tengan algún producto afectado que contacten con el servicio técnico del fabricante.

Como medidas generales de mitigación se recomienda:

  • Minimizar la exposición a la red para todos los dispositivos y/o sistemas del sistema de control, garantizando que no sean accesibles desde Internet.
  • Ubicar las redes de sistemas de control y los dispositivos remotos detrás de firewalls y aislarlos de las redes de negocio.
  • Cuando sea necesario acceder de forma remota, utilice métodos seguros, como redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Además, tenga en cuenta que la seguridad de una VPN depende de los dispositivos conectados.
Detalle

Dingtian DT-R0 Series es vulnerable a un exploit que permite que los atacantes eviten registrarse en el producto, solo con navegar directamente a la página principal. Cuando se explota la vulnerabilidad un atacante podría modificar la configuración del dispositivo y obtener permisos de administrador.

Se ha asignado el identificador CVE-2025-1283 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos mySCADA

Fecha14/02/2025
Importancia5 - Crítica
Recursos Afectados
  • myPRO Manager: versiones anteriores a la 1.4.
Descripción

Michael Heinzl ha reportado cuatro vulnerabilidades, 2 de severidad crítica, una alta y una media, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo, acceder sin autenticación a información sensible y cargar archivos maliciosos.

Solución

mySCADA recomienda a los usuarios actualizar myPRO Manager a la versión 1.4.

Detalle
  • Vulnerabilidad de inyección de comandos del sistema operativo, cuya explotación podría permitir a un atacante remoto ejecutar comandos arbitrarios en el sistema operativo del dispositivo afectado. Se ha asignado el identificador CVE-2025-25067.
  • La interfaz de administración web puede ser accedida sin autenticación, lo que permite a un atacante obtener información sensible y cargar archivos sin necesidad de credenciales. Se ha asignado el identificador CVE-2025-24865.

Para las vulnerabilidades cuya severidad no es crítica, se han asignado los identificadores CVE-2025-22896 y CVE-2025-23411.

Múltiples vulnerabilidades en productos Qardio

Fecha14/02/2025
Importancia4 - Alta
Recursos Afectados

Los siguientes productos de Qardio están afectados:

  • Qardio Heart Health IOS Mobile Application: versión 2.7.4.
  • Qardio Heart Health Android Mobile Application: versión 2.5.1.
  • QardioARM A100: todas las versiones.
Descripción

Bryan Riggins, de Insulet Corporation, ha reportado 3 vulnerabilidades, una de severidad alta y 2 medias, cuya explotación podría permitir a un atacante obtener información sensible, causar una condición de denegación de servicio (DoS) y obtener archivos de firmware.

Solución

Qardio no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de los productos afectados a contactar con el servicio de atención al cliente de Qardio para obtener más información.

Detalle

Un atacante podría enviar comandos para iniciar una medición mediante un script, a través de una conexión Bluetooth no cifrada, lo que impediría el uso del dispositivo y provocaría una condición de denegación de servicio. Se ha asignado el identificador CVE-2025-24836.

Para las vulnerabilidades de severidad media, se han asignado los identificadores CVE-2025-20615 y CVE-2025-23421.

Múltiples vulnerabilidades en IAP-20 de ORing

Fecha14/02/2025
Importancia4 - Alta
Recursos Afectados
  • IAP-420: versiones 2.01e y anteriores.
Descripción

Thomas Weber, de CyberDanube, ha informado de 2 vulnerabilidades de severidad alta que podrían permitir a un atacante invocar comandos para comprometer el dispositivo a través de la interfaz de administración.

Solución

ORing está trabajando para solucionar las vulnerabilidades.

Mientras tanto, se recomienda minimizar la exposición de la red, interponer firewalls ante sistemas críticos o utilizar redes privadas virtuales (VPN).

Detalle

La vulnerabilidad CVE-2024-5410 es de tipo Cross-site Scripting (XSS) almacenado, lo que podría activar un script entre sitios colocando código JavaScript en el campo de entrada SSID de la interfaz web. Un atacante podría aprovechar esta vulnerabilidad para atraer a un usuario autenticado a un sitio web malicioso.

La vulnerabilidad CVE-2024-5411 es de tipo inyección de comandos debido al parámetro del nombre del archivo de configuración y solo se puede explotar si un usuario está autenticado en la interfaz web. De ser explotada, un atacante podría invocar comandos y obtener control total sobre el dispositivo.