La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) ha emitido una alerta crítica sobre vulnerabilidades significativas detectadas en los dispositivos de automatización industrial Revolution Pi de KUNBUS GmbH.
Estas deficiencias de seguridad, que abarcan riesgos de elusión de autenticación y ejecución remota de código, representan una amenaza para sectores cruciales como la manufactura, la energía y la sanidad. Una explotación exitosa de estas vulnerabilidades podría permitir a atacantes interrumpir operaciones, manipular sistemas de seguridad o causar interrupciones generalizadas en el funcionamiento.
El aviso identifica tres vulnerabilidades principales que afectan a Revolution Pi OS Bookworm (01/2025) y al software PiCtory (versiones 2.5.0–2.11.1):
1. Autenticación faltante para función crítica (CVE-2025-24522)
El servidor Node-RED en Revolution Pi OS carece de autenticación predeterminada, lo que permite a atacantes no autenticados ejecutar comandos arbitrarios en el sistema operativo. Con una puntuación CVSS v3.1 de 10,0, esta falla plantea el mayor riesgo y permite un control remoto total de los sistemas industriales.
2. Omisión de autenticación mediante ruta transversal (CVE-2025-32011)
El mecanismo de autenticación de PiCtory se puede eludir mediante el recorrido de ruta, otorgando acceso no autorizado a funciones críticas (CVSS v3.1: 9.8). Los atacantes podrían reconfigurar procesos industriales o extraer datos confidenciales.
3. Inyección de inclusión del lado del servidor (SSI) (CVE-2025-24524)
El hecho de que PiCtory no desinfecte los nombres de archivos permite a atacantes autenticados inyectar secuencias de comandos maliciosas, lo que lleva a ataques de secuencias de comandos entre sitios (XSS) (CVSS v3.1: 9.8). Esto podría comprometer las sesiones de los usuarios o enviar cargas útiles a los sistemas de control.
Los dispositivos Evolution Pi se implementan en todo el mundo en sectores de infraestructura críticos, que incluyen:
- Energía: Sistemas de monitorización y control de red
- Fabricación: automatización de líneas de producción
- Transporte: Redes de gestión del tráfico
- Tratamiento de Agua: Redes de sensores y gateways SCADA
KUNBUS, con sede en Alemania, reconoció los riesgos y lanzó parches, pero las implementaciones heredadas en entornos altamente regulados siguen siendo vulnerables debido a los lentos ciclos de actualización.
CISA y KUNBUS recomiendan acciones inmediatas para mitigar los riesgos:
- Actualización de software: actualice PiCtory a la versión 2.12 a través de la interfaz de usuario de KUNBUS Cockpit o mediante descarga directa.
- Habilite la autenticación: configure Node-RED y PiCtory con protocolos de autenticación sólidos.
- Aislamiento de red: Segmente los sistemas de control industrial (ICS) de las redes empresariales mediante firewalls.
- Evite la exposición a Internet: asegúrese de que no se pueda acceder directamente a los dispositivos ICS en línea.
KUNBUS planea lanzar un complemento Cockpit en abril de 2025 para simplificar las configuraciones seguras.
Adam Bromiley de Pen Test Partners descubrió las vulnerabilidades, que fueron reveladas en colaboración a CISA y KUNBUS.
Si bien no se ha informado de explotación activa, CISA enfatiza la urgencia de aplicar parches, señalando que históricamente los adversarios han atacado los sistemas industriales con fines de sabotaje o extorsión.
Estas vulnerabilidades subrayan la fragilidad de los ecosistemas industriales de IoT y las consecuencias en cascada de los dispositivos no seguros. Con el uso generalizado de Revolution Pi en infraestructura crítica, las organizaciones deben priorizar las actualizaciones, el fortalecimiento de la red y las evaluaciones de riesgos continuas para evitar posibles desastres.
