El 24 de junio de 2025, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) publicó ocho alertas de seguridad para Sistemas de Control Industrial (ICS). Estas alertas resaltan vulnerabilidades significativas en los sistemas de diversos proveedores.
Los avisos, identificados como ICSA-25-175-01 hasta ICSA-25-175-07, además de una actualización para una vulnerabilidad previa (ICSA-19-029-02 Revisión B), ofrecen información esencial para organizaciones que operan sistemas de control industrial en diferentes sectores.
El propósito de estas alertas es informar a los administradores de sistemas sobre posibles vulnerabilidades que, si no son corregidas o mitigadas, podrían poner en riesgo los entornos de Tecnología Operativa (OT).
Detalles importantes
CISA ha emitido ocho alertas de seguridad que detallan vulnerabilidades críticas en sistemas de control industrial (ICS) que afectan a sectores clave como transporte, manufactura crítica, energía y comunicaciones.
Estas alertas señalan múltiples fallas significativas con puntuaciones CVSS v4 que oscilan entre 6.0 y 9.3. Entre las vulnerabilidades identificadas se encuentran la ejecución remota de código (CVE-2025-2566), desbordamientos de búfer y vulnerabilidades de omisión de autenticación (CVE-2025-49851).
Es importante destacar que varios de los sistemas afectados, como Delta Electronics CNCSoft A-series y Schneider Electric EVLink WallBox, ya no cuentan con soporte. Esto significa que las organizaciones que aún los utilizan deben migrar de inmediato a alternativas compatibles para garantizar la seguridad de sus operaciones.
Para proteger los activos de infraestructura críticos, se recomienda a las organizaciones implementar parches de seguridad de forma inmediata, establecer una segmentación de red efectiva y adoptar estrategias de defensa en profundidad.
Sistema operativo del terminal Kaleris Navis N4
El aviso de CISA ICSA-25-175-01 destaca vulnerabilidades graves en el sistema operativo del terminal Kaleris Navis N4 que afectan a versiones anteriores a la 4.0.
El sistema enfrenta dos fallas críticas: CVE-2025-2566, una vulnerabilidad de deserialización de datos no confiables (CWE-502) con una puntuación CVSS v4 de 9,3, que permite la ejecución remota de código no autenticado, y CVE-2025-5087, que implica la transmisión de texto sin cifrar de información confidencial (CWE-319) con una puntuación CVSS v4 de 6,0.
Estas vulnerabilidades afectan al sector de sistemas de transporte a nivel mundial, y Kaleris recomienda actualizaciones inmediatas a las versiones 3.1.44+ a 3.8.0+.
Vulnerabilidades del software CNC de Delta Electronics
El aviso ICSA-25-175-02 aborda cuatro vulnerabilidades de escritura fuera de límites (CWE-787) en Delta Electronics CNCSoft v1.01.34 y versiones anteriores.
CVE-2025-47724, CVE-2025-47725, CVE-2025-47726 y CVE-2025-47727 tienen puntuaciones CVSS v4 de 7,3, lo que afecta a los sectores críticos de fabricación y energía.
Delta Electronics ha descontinuado los productos CNC de la serie A y recomienda la migración a sistemas más nuevos, ya que CNCSoft se eliminará de su Centro de descargas.
Controladores Schneider Electric Modicon
ICSA-25-175-03 detalla seis vulnerabilidades en los controladores Schneider Electric Modicon que afectan a los sectores de instalaciones comerciales, fabricación crítica y energía.
Las vulnerabilidades clave incluyen CVE-2025-3898 (validación de entrada incorrecta, CWE-20), CVE-2025-3899 (secuencias de comandos entre sitios, CWE-79) y CVE-2025-3112 (consumo de recursos no controlado, CWE-400), con puntuaciones CVSS v4 que van de 5,1 a 7,1.
Schneider Electric ha lanzado la versión de firmware 5.3.12.51 para los controladores M241 y M251, con la versión 5.3.9.18+ disponible para los modelos M262.
Caja de pared Schneider Electric EVLink
El aviso ICSA-25-175-04 revela cuatro vulnerabilidades en el sistema EVLink WallBox descontinuado, y CVE-2025-5740 presenta el mayor riesgo en CVSS v4 8.6.
Esta vulnerabilidad de recorrido de ruta (CWE-22) permite la escritura de archivos arbitrarios, mientras que CVE-2025-5743 permite la inyección de comandos del sistema operativo (CWE-78).
Schneider Electric recomienda actualizar a EVLink Pro AC como solución de reemplazo.
ControlID iDSecure local
ICSA-25-175-05 aborda tres vulnerabilidades críticas en ControlID iDSecure On-premise versiones 4.7.48.0 y anteriores.
CVE-2025-49851 (autenticación incorrecta, CWE-287), CVE-2025-49852 (falsificación de solicitudes del lado del servidor, CWE-918) y CVE-2025-49853 (inyección SQL, CWE-89) presentan puntuaciones CVSS v4 entre 8,7 y 9,3.
ControlID ha lanzado la versión 4.7.50.0 para abordar estas vulnerabilidades.
Widget Parsons AccuWeather y MICROSENS NMP Web+
ICSA-25-175-06 cubre una vulnerabilidad de secuencias de comandos entre sitios (CVE-2025-5015) en Parsons AccuWeather Widget con CVSS v4 8.7, que afecta la infraestructura del sector de comunicaciones.
ICSA-25-175-07 detalla tres vulnerabilidades en MICROSENS NMP Web+ versión 3.2.5 y anteriores, incluidas constantes de seguridad codificadas (CVE-2025-49151) y recorrido de ruta (CVE-2025-49153) con puntuaciones CVSS v4 de 9,3.
Además, los PLC de la serie MELSEC-Q de Mitsubishi Electric (ICSA-19-029-02) recibieron la Actualización B para vulnerabilidades heredadas, lo que enfatiza las amenazas persistentes a los equipos industriales obsoletos.
CISA recomienda encarecidamente a las organizaciones que utilizan los sistemas afectados que implementen los parches proporcionados por los proveedores inmediatamente cuando estén disponibles.
Para los sistemas donde los parches aún no están disponibles, las mitigaciones recomendadas incluyen la segmentación de la red, la implementación de controles de acceso adecuados y el monitoreo de actividades sospechosas.
