Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de SCI

Múltiples vulnerabilidades en SPRECON-E-C/-E-P/-E-T3 de Sprecher automation

Fecha06/11/2025
Importancia5 - Crítica
Recursos Afectados

SPRECON-E-C/-E-P/-E-T3, firmware versiones anteriores a 9.0.

Descripción

Sprecher automation ha reportado 3 vulnerabilidades de criticidad alta. La explotación de estas vulnerabilidades podría  comprometer la confidencialidad e integridad de los datos, omitir un mecanismo estático o descifrar las copias de seguridad almacenadas para extraer información confidencial del sistema e infringir la integridad de las copias de seguridad. 

Solución
  • Actualizar el firmware a su versión 9.0 o posterior.
Detalle
  • CVE-2025-41744: un atacante con acceso a cualquier dispositivo SPRECON-E podría extaer el certificado predeterminado  incluyendo la clave privada. Con este material se podría realizar un ataque de tipo "Man In The Middle" contra cualquier otro dispositivo SPRECON-E que aún utilice el certificado predeterminado. EL atacante podría interceptar, descifrar y manipular todo el tráfico de red entre el usuario y el servidor web del dispositivo SPRECON-E, dando lugar al compromiso de credenciales de inicio de sesión, divulgación de datos confidenciales o la manipulación de la información mostrada al usuario.
  • CVE-2025-41742: los archivos se cifran con una clave estática para todo el sistema. Esto podría causar que un atacante con acceso a estos archivos pueda extraer la clave para obtener la información de los archivos y, en su defecto, ser estos manipulados y vueltos a cifrar.
  • CVE-2025-41741: vulnerabilidad sobre una función de copia de seguridad SSM que utiliza material de la clave estática para cifrar. Esto puede hacer que se descifre los datos del sistema y así comprometer su integridad.