Un nuevo aviso de SCI y dos actualizaciones
Índice
- Almacenamiento de contraseña en texto plano en cargadores para vehículos de LITEON
- [Actualización 16/07/2025] Elemento de ruta de búsqueda no controlada en productos de Schneider Electric
- [Actualización 16/07/2025] Múltiples vulnerabilidades en productos Schneider Electric
Almacenamiento de contraseña en texto plano en cargadores para vehículos de LITEON
Las siguientes versiones de cargadores LITEON EV están afectadas:
- LITEON IC48A: versiones de firmware anteriores a 01.00.19r;
- LITEON IC80A: versiones de firmware anteriores a 01.01.12e.
Murat Sagdullaev, de Electrada, ha informado sobre una vulnerabilidad de severidad alta que podría permitir a un atacante acceder a información confidencial al acceder a los cargadores EV de Liteon.
LITEON ha lanzado las siguientes versiones de firmware para los siguientes cargadores de vehículos eléctricos:
- LITEON IC48A: versiones de firmware 01.00.20h.
- LITEON IC80A: versiones de firmware 01.01.13m.
Las versiones de firmware afectadas almacenan las credenciales de acceso al servidor FTP en texto sin formato en sus registros del sistema. Se ha asignado el identificador CVE-2025-7357 para esta vulnerabilidad.
[Actualización 16/07/2025] Elemento de ruta de búsqueda no controlada en productos de Schneider Electric
Los siguientes productos y versiones de Schneider Electric EcoStruxure, que incorporan Revenera FlexNet Publisher, se ven afectados:
- EcoStruxure OPC UA Server Expert: todas las versiones;
- EcoStruxure Control Expert Asset Link: versiones anteriores a V4.0 SP1;
- EcoStruxure Machine SCADA Expert Asset Link: todas las versiones;
- EcoStruxure Architecture Builder: versiones anteriores a V7.0.18;
- Vijeo Designer: versiones anteriores a V6.3SP1 HF1;
- EcoStruxure Machine Expert, incluyendo EcoStruxure Machine Expert Safety: todas las versiones;
- EcoStruxure Machine Expert Twin: todas las versiones;
- Zelio Soft 2: todas las versiones.
[Actualización 16/07/2025]
- EcoStruxure Control Expert: versiones anteriores a V16.2;
- EcoStruxure Process Expert: Versiones anteriores a 2023 (v4.8.0.5715);
- EcoStruxure Process Expert para la plataforma del sistema AVEVA: todas las versiones;
- EcoStruxure Operator Terminal Expert: versiones anteriores a la v4.0;
- Pro-face BLUE: Versiones anteriores a la v4.0.
Xavier DANEST, de Trend Micro Zero Day Initiative, ha informado de un vulnerabilidad de severidad alta que podría permitir una escalada de privilegios locales. Lo que daría la posibilidad a un atacante de ejecutar una biblioteca dinámica (DLL) maliciosa en los sistemas afectados.
Schneider Electric recomienda actualizar a las siguientes versiones:
- EcoStruxure Architecture Builder: versión V7.0.18.
- EcoStruxure Control Expert Asset Link: versión V4.0 SP1.
- Vijeo Designer: versión V6.3SP1 HF1.
[Actualización 16/07/2025]
- EcoStruxure Control Expert: Versiones anteriores a la V16.2.
- EcoStruxure Process Expert: Versiones 2023 anteriores a la v4.8.0.5115.
- EcoStruxure Process Expert: versiones anteriores a 2023.
- EcoStruxure Operator Terminal Expert: Versiones anteriores a la 4.0.
- Pro-face BLUE: Versiones anteriores a la 4.0.
Una configuración incorrecta en lmadmin.exe de las versiones de FlexNet Publisher anteriores a 2024 R1 (11.19.6.0) permite que el archivo de configuración de OpenSSL se cargue desde un directorio inexistente. Un atacante podría aprovechar esta vulnerabilidad para ejecutar una DLL maliciosa, lo que resultaría en una escalada de privilegios locales. Se ha asignado el identificador CVE-2024-2658 para esta vulnerabilidad.
[Actualización 16/07/2025] Múltiples vulnerabilidades en productos Schneider Electric
- Modicon Controllers M241 / M251, versiones anteriores a 5.3.12.48;
- Modicon Controllers M258 / LMC058;
- Wiser AvatarOn 6K Freelocate;
- Wiser Cuadro H 5P Socket;
- PrismaSeT Active - Wireless Panel Server;
- Galaxy VS;
- Galaxy VL;
- Galaxy VXL.
Los productos de Schneider Electric están afectados por 3 vulnerabilidades, 2 de ellas de severidad alta y una crítica. Su explotación podría permitir la lectura de archivos arbitrarios sin autorización, ejecución del código del atacante de forma persistente y ejecución no autorizada de código.
Para los siguientes productos, actualizar a la versión indicada:
- Modicon Controllers M241/M251, versión 5.3.12.48.
Los siguientes productos aún no disponen de un parche de seguridad. El proveedor está trabajando en poder ofrecerlo en breve, pero mientras tanto, se recomienda seguir las siguientes acciones para mitigar el problema:
- Modicon Controllers M258 / LMC058:
- Utilizar controladores y dispositivos únicamente en un entorno protegido para minimizar la exposición en la red y asegurarse de que no son accesibles desde Internet o desde redes que no sean de confianza.
- Utilizar las funciones de administración de usuario y contraseñas. Los permisos de usuario están habilitados por defecto y se exige crear una contraseña segura la primera vez.
- Deshabilitar el Webserver cuando se deje de usar.
- Emplear enlaces de comunicación codificados cuando estén disponibles.
- Configurar la segmentación de red e instalar un cortafuegos para bloquear todos los accesos no autorizados a puertos 80/HTTP y 443/HTTPS.
- Si necesita acceder en remoto, hágalo a través de túneles VPN.
- Consultar la guía para más acciones específicas “Cybersecurity Guidelines for EcoStruxure Machine Expert Modicon and PacDrive Controllers and Associated Equipment”.
- Galaxy VS, Galaxy VL y Galaxy VXS:
- Iniciar sesión en NMC4 a través de la interfaz web. Cuando haya accedido al sistema vaya a la página de configuración de la consola desde la barra de menú navegando por Configuration -> Network -> Console -> Access.
- Desde la pantalla de configuración, desmarque la casilla de verificación "habilitar SSH/SFTP/SCP" y haga clic en "Aplicar".
Los siguientes productos han alcanzado el final de su vida útil y el fabricante no tiene previsto sacar una actualización. En las referencias del aviso puede encontrar información adicional del fabricante con diversas propuestas de mitigación.
- Wiser AvatarOn 6K Freelocate;
- Wiser Cuadro H 5P Socket;
- PrismaSeT Active -Wireless Panel Server.
[Actualización 16/07/2025]
Como ya se venía indicando anteriormente, el fabricante estaba trabajando en nuevas actualizaciones, por lo que se recomienda revisar en aviso oficial enlazado en referencias para conocer los últimos parches disponibles.
Las vulnerabilidades son:
- CVE-2025-2875, de severidad alta. Referencia controlada externamente a un recurso en otra esfera, podría provocar una pérdida de confidencialidad cuando un atacante, no autenticado, manipula la URL del servidor web del controlador para acceder a los recursos.
- CVE-2023-4041, de severidad crítica. Afecta a un componente de terceros, en concreto, Silicon Labs Gecko Bootloader que se emplea en los productos Wiser y PrismaSeT. La vulnerabilidad es de tipo desbordamiento del búfer y puede permitir la inyección de código.
- CVE-2025-32433, de severidad crítica. Afecta al componente de terceros Erlang/OTP que se emplea en los productos Galaxy. Esta vulnerabilidad impacta en el componente SSH y puede permitir la ejecución de código en remoto (RCE) de forma no autenticada, lo que puede derivar en la capacidad de monitorización del UPS y su potencial funcionamiento.