El 29 de mayo de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió cinco avisos urgentes relacionados con sistemas de control industrial (ICS). Estos avisos abordan vulnerabilidades críticas presentes en sistemas de infraestructura y automatización industrial de uso extendido.
Estos comunicados resaltan fallas de seguridad graves que impactan sistemas de control de acceso, paneles de seguridad contra incendios, dispositivos de monitoreo ambiental y software de imágenes médicas de Siemens. De explotarse, estas vulnerabilidades podrían potencialmente interrumpir operaciones críticas y comprometer la seguridad pública.
Los cinco avisos abarcan una amplia gama de sistemas de control industrial utilizados en sectores de infraestructura críticos. ICSA-25-148-01 está dirigido al sistema de control de acceso electrónico Siemens SiPass.
El sistema Siemens SiPass sufre CVE-2022-31807, una verificación inadecuada de la vulnerabilidad de la firma criptográfica con una puntuación CVSS v4 de 8,2, lo que permite posibles ataques de manipulación del firmware.
El ICSA-25-148-02 aborda las vulnerabilidades en la plataforma integrada SiPass más avanzada.
La plataforma SiPass Integrated contiene CVE-2022-31812, una vulnerabilidad de lectura fuera de límites con una puntuación de 8,7 en CVSS v4, que podría permitir ataques remotos de denegación de servicio no autenticados.
El aviso ICSA-25-148-03 se centra en la central de incendios Consilium Safety CS5000 utilizada en aplicaciones de seguridad industrial y marítima.
Las vulnerabilidades, incluidas CVE-2025-41438 (inicialización con valores predeterminados inseguros) y CVE-2025-46352 (credenciales codificadas), ambas con una puntuación de 9,3 en CVSS v4.
Estas fallas involucran cuentas predeterminadas y contraseñas codificadas que no se pueden cambiar y que podrían comprometer completamente el sistema remoto.
ICSA-25-148-04 cubre el dispositivo de monitoreo ambiental Instantel Micromate implementado en los sectores de construcción, minería y petróleo y gas.
El Instantel Micromate se enfrenta a CVE-2025-1907, una vulnerabilidad de autenticación faltante que también tiene una puntuación de 9,3, lo que permite la ejecución de comandos no autenticados.
Además, ICSMA-25-148-01 representa un aviso médico para el software Santesoft Sante DICOM Viewer Pro utilizado en imágenes sanitarias.
Contiene la vulnerabilidad de corrupción de memoria CVE-2025-5307, que permite la ejecución de código arbitrario, particularmente peligroso dada la naturaleza crítica de los entornos médicos.
Recomendaciones
CISA enfatiza la importancia crítica de implementar inmediatamente las mitigaciones recomendadas por los proveedores.
Siemens ha proporcionado parches para ambos sistemas SiPass, con recomendaciones específicas para habilitar la comunicación TLS y seguir las pautas de seguridad operativa.
Sin embargo, la central de incendios Consilium Safety CS5000 presenta desafíos únicos ya que no se planean correcciones para las versiones actuales, y el proveedor recomienda actualizaciones a productos más nuevos fabricados después del 1 de julio de 2024.
Para Instantel Micromate, los usuarios deben establecer listas de direcciones IP aprobadas mientras esperan actualizaciones de firmware.
El sector médico enfrenta una urgencia particular con Santesoft DICOM Viewer, donde las actualizaciones de la versión v14.2.2 son esenciales para evitar una posible exposición de los datos del paciente y la interrupción del sistema de diagnóstico.
CISA recomienda medidas defensivas integrales, que incluyen segmentación de la red, protección mediante firewall, implementación de VPN para acceso remoto y monitoreo continuo.
Las organizaciones deben realizar evaluaciones de impacto exhaustivas antes de implementar mitigaciones y mantener inventarios de activos actualizados para garantizar una cobertura completa de la vulnerabilidad.
