La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido cinco nuevas alertas informativas con fecha del 22 de abril de 2025. Estas notificaciones se centran en vulnerabilidades de carácter crítico identificadas en sistemas de control industrial (ICS) de los fabricantes Siemens, Schneider Electric y ABB.
En estos avisos se detalla información relevante sobre deficiencias de seguridad, vulnerabilidades y exposiciones comunes (CVE) vinculadas a dichos sistemas, además de ofrecer recomendaciones de mitigación para las entidades que pudieran verse afectadas.
Servidor Siemens TeleControl SQL básico (ICSA-25-112-01)
Este aviso identifica múltiples vulnerabilidades de inyección SQL en Siemens TeleControl Server Basic SQL, exponiendo los sistemas a acceso no autorizado a bases de datos y posible ejecución de código.
Las vulnerabilidades están presentes en varios métodos internos, incluidos CreateTrace CVE-2025-27495 (CVSS v3.1: 9.8), VerifyUser CVE-2025-27539 (CVSS v3.1: 9.8), UpdateConnectionVariables CVE-2025-30002 (CVSS v3.1: 8.8), ImportDatabase CVE-2025-30030 (CVSS v3.1: 8.8) y LockProject CVE-2025-32822 (CVSS v3.1: 8.8).
Cada vulnerabilidad permite a los atacantes eludir los controles de autorización y manipular la base de datos de la aplicación.
Servidor Siemens TeleControl Básico (ICSA-25-112-02)
Un aviso separado para Siemens TeleControl Server Basic destaca una vulnerabilidad CVE-2025-29931 (CVSS v3.1: 3.7) relacionada con el manejo inadecuado de la inconsistencia de los parámetros de longitud.
Esta falla puede resultar en una condición de denegación de servicio (DoS) parcial si se explota en configuraciones de servidores redundantes donde se interrumpe la conexión entre servidores.
Controlador doméstico Wiser de Schneider Electric WHC-5918A (ICSA-25-112-03)
Este aviso detalla una vulnerabilidad de exposición de información CVE-2024-6407 (CVSS v3.1: 9.8) en el controlador doméstico Wiser WHC-5918A.
La explotación podría permitir a atacantes remotos revelar credenciales confidenciales enviando mensajes especialmente diseñados al dispositivo.
Variadores ABB MT (ICSA-25-112-04)
Las unidades ABB MV se ven afectadas por una serie de vulnerabilidades en el sistema CODESYS Runtime, que incluyen restricción inadecuada de operaciones dentro de los buffers de memoria, validación de entrada inadecuada y condiciones de escritura fuera de límites.
Estas vulnerabilidades podrían permitir a los atacantes obtener acceso completo o provocar una denegación de servicio.
PLC Schneider Electric Modicon M580, BMENOR2200H y EVLink Pro AC (ICSA-25-035-04, actualización A)
Este aviso, actualizado en abril, aborda un cálculo incorrecto de la vulnerabilidad del tamaño del búfer rastreada como CVE-2024-11425 (CVSS v3.1: 7.5) en los PLC Schneider Electric Modicon M580, BMENOR2200H y EVLink Pro AC. La explotación podría provocar una denegación de servicio a través de paquetes HTTPS manipulados.
Estas vulnerabilidades podrían permitir a los atacantes deslizar paquetes creados con fines malintencionados a través de firmware sin parches, interrumpiendo potencialmente los procesos de automatización críticos en los sectores de fabricación, energía y transporte.
Mitigaciones
CISA enfatiza varias recomendaciones clave para las organizaciones que utilizan sistemas afectados:
Implemente procedimientos rigurosos de parcheo de firmware.
Redes de sistemas de control de segmentos a partir de redes empresariales.
Minimizar la exposición de la red de los dispositivos del sistema de control.
Mantenga el firmware actualizado en todos los dispositivos conectados.
Monitoree los sistemas continuamente para detectar actividades sospechosas.
Las organizaciones que utilizan cualquiera de los componentes afectados deben priorizar las actualizaciones de seguridad de acuerdo con sus protocolos de evaluación de riesgos e implementar las mitigaciones recomendadas sin demora.
