El 25 de marzo de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió cuatro alertas de seguridad relativas a sistemas de control industrial (ICS). Dichas alertas detallan vulnerabilidades significativas identificadas en productos de ABB, Rockwell Automation e Inaba Denki Sangyo.
Estas vulnerabilidades presentan puntuaciones CVSS v4 que oscilan entre 5.1 y 9.3, lo que indica un riesgo potencial para la operatividad y seguridad de los sistemas afectados. La explotación de estas vulnerabilidades podría permitir a actores malintencionados interrumpir servicios (denegación de servicio), ejecutar código arbitrario, obtener control de dispositivos o acceder a sistemas de manera no autorizada.
Dado que los sistemas comprometidos se encuentran implementados en sectores de infraestructura crítica a nivel global, incluyendo las industrias de petróleo y gas, manufactura e instalaciones comerciales, estas vulnerabilidades revisten una importancia considerable y requieren una atención inmediata.
ABB RMC-100 (ICSA-25-084-01)
El primer aviso de CISA se refiere a la computadora de flujo ABB RMC-100 utilizada en sistemas de medición de petróleo y gas.
La vulnerabilidad (CVE-2022-24999) implica contaminación de prototipos en la interfaz de usuario web (interfaz REST) con una puntuación CVSS v4 de 8,7.
Al afectar a las versiones 2105457-036 a 2105457-044 de RMC-100 y a las versiones 2106229-010 a 2106229-016 de RMC-100 LITE, un atacante podría enviar mensajes especialmente diseñados provocando una denegación de servicio que requiera reiniciar la interfaz.
ABB recomienda actualizar a versiones más recientes (Paquete de cliente RMC-100 2105452-048 o Paquete de cliente RMC-100 LITE 2106260-017) y deshabilitar la interfaz REST cuando no se configura la funcionalidad MQTT.
Administrador de activos Verve de Rockwell Automation (ICSA-25-084-02)
El segundo aviso aborda Verve Asset Manager de Rockwell Automation, versiones 1.39 y anteriores.
La vulnerabilidad (CVE-2025-1449, CWE-1287) se debe a una desinfección insuficiente de las variables en la interfaz web administrativa de la interfaz Legacy Active Directory.
Con una puntuación CVSS v4 de 8,9, un atacante con acceso administrativo podría ejecutar comandos arbitrarios en el contenedor que ejecuta el servicio. La capacidad ADI heredada ha quedado obsoleta desde la versión 1.36.
Rockwell Automation lanzó la versión 1.40 para abordar la vulnerabilidad y recomienda a los usuarios implementar las mejores prácticas de seguridad, incluido el aislamiento de la red y el uso de métodos seguros de acceso remoto.
Rockwell Automation 440G TLS-Z (ICSA-25-084-03)
El tercer aviso se refiere al dispositivo de seguridad 440G TLS-Z de Rockwell Automation, versión v6.001. La vulnerabilidad (CVE-2020-27212, CWE-74) existe en el componente STMicroelectronics STM32L4, que tiene controles de acceso incorrectos.
Con una puntuación CVSS v4 de 7,3, un atacante con acceso físico y alta capacidad técnica podría revertir las protecciones que controlan la interfaz JTAG, lo que podría llevar a una toma completa del dispositivo.
A diferencia de otras vulnerabilidades, esta no se puede explotar de forma remota y requiere acceso físico. Rockwell Automation recomienda limitar el acceso físico únicamente al personal autorizado e implementar las mejores prácticas de seguridad descritas en sus Pautas de diseño de seguridad del sistema.
Inaba Denki Sangyo CHOCO TEI WATCHER Mini (ICSA-25-084-04)
El cuarto aviso revela múltiples vulnerabilidades en todas las versiones de Inaba Denki Sangyo CHOCO TEI WATCHER mini (IB-MCT001), un dispositivo utilizado en entornos de fabricación.
Las vulnerabilidades incluyen autenticación del lado del cliente (CVE-2025-24517, CVSS v4: 8.7), almacenamiento de contraseñas en formato recuperable (CVE-2025-24852, CVSS v4: 5.1), requisitos de contraseña débiles (CVE-2025-25211, CVSS v4: 9.3) y navegación forzada (CVE-2025-26689, CVSS v4: 9.3).
Estas vulnerabilidades podrían permitir a los atacantes obtener contraseñas, obtener acceso no autorizado y modificar datos o configuraciones.
No hay parches disponibles; Inaba Denki Sangyo recomienda utilizar el producto dentro de una LAN segura, implementar firewalls/VPN y restringir el acceso físico a usuarios autorizados.
Estos avisos destacan los desafíos actuales para proteger los sistemas de control industrial a medida que convergen los entornos de TI y OT.
Mitigación
CISA recomienda varias estrategias de mitigación comunes: aplicar rápidamente parches cuando estén disponibles (productos de ABB y Rockwell Automation), implementar segmentación de red para aislar sistemas críticos, utilizar métodos seguros para el acceso remoto y limitar el acceso físico a los dispositivos (particularmente para Rockwell 440G TLS-Z).
Para sistemas sin parches como el CHOCO TEI WATCHER mini, el aislamiento de la red se vuelve aún más crítico.
Las organizaciones deben realizar evaluaciones de riesgos exhaustivas antes de implementar medidas defensivas e informar cualquier sospecha de actividad maliciosa a CISA. Hasta el momento no se ha informado de ninguna explotación pública de estas vulnerabilidades.
