El 17 de julio de 2025, la CISA (Agencia de Ciberseguridad y Seguridad de la Infraestructura) emitió tres alertas importantes sobre vulnerabilidades críticas en sistemas de control industrial (ICS). Estas fallas, con puntuaciones CVSS v4 que oscilan entre 8.5 y 8.7, exponen infraestructuras críticas en varios sectores a posibles ciberataques y accesos no autorizados.
Vulnerabilidad de Secuencias de Comandos entre Sitios en Sistemas Leviton
El aviso ICSA-25-198-01 de CISA detalla una grave vulnerabilidad de secuencias de comandos entre sitios (XSS) en los sistemas Leviton AcquiSuite versión A8810 y Energy Monitoring Hub versión A8812. Esta falla, identificada como CVE-2025-6185 y con una puntuación CVSS v4 de 8.7, permite a los atacantes inyectar código malicioso a través de parámetros URL, lo que podría llevar al robo de tokens de sesión y al control remoto total del servicio.
Esta vulnerabilidad, clasificada como CWE-79, afecta a la infraestructura de comunicaciones a nivel global. A pesar de haber sido reportada por el investigador notnotnotveg, Leviton no ha colaborado con CISA en la mitigación, por lo que se recomienda a los usuarios contactar directamente con el servicio de atención al cliente de Leviton para obtener información y parches.
Falla de Secuestro de DLL en Software de Imágenes Médicas
Los sistemas de atención médica están en riesgo debido a la alerta ICSMA-25-198-01, que señala una vulnerabilidad CWE-427 (elemento de ruta de búsqueda no controlada) en la versión 9.1.2.7600 del software de imágenes digitales de Panorámica Corporation. La vulnerabilidad CVE-2024-22774, con una puntuación CVSS v4 de 8.5, permite a usuarios estándar escalar privilegios a NT Authority/SYSTEM mediante técnicas de secuestro de DLL.
Esta vulnerabilidad afecta particularmente a la infraestructura de salud pública y sanitaria en Norteamérica. La falla se origina en un componente SDK obsoleto de Oy Ajat Ltd., complicando su solución. Descubierta y reportada por Damian Semon Jr. de Blue Team Alpha LLC, esta vulnerabilidad requiere acceso local, pero su explotación exitosa compromete completamente el sistema.
Fallo de Permisos en Control de Acceso de Johnson Controls
El tercer aviso, ICSA-24-191-05 Actualización B, se refiere a permisos predeterminados incorrectos en el servidor de sitio C•CURE 9000 de Johnson Controls, versión 2.80 y anteriores. La vulnerabilidad CVE-2024-32861, con una puntuación CVSS v4 de 8.5, afecta a sistemas con instalaciones opcionales de C-CURE IQ Web y/o C-CURE Portal. La falla CWE-276 proporciona protección insuficiente en los directorios que contienen ejecutables bajo ciertas circunstancias.
Esta vulnerabilidad impacta a sectores críticos a nivel mundial, incluyendo manufactura, instalaciones comerciales y gubernamentales, sistemas de transporte y energía. Johnson Controls ha publicado instrucciones de mitigación específicas a través de su Aviso de Seguridad del Producto, recomendando la eliminación de permisos de control total y escritura para cuentas no administrativas en la ruta C:\CouchDB\bin.
Recomendaciones de Seguridad
CISA subraya la importancia de implementar estrategias de defensa en profundidad y segmentación de red para minimizar los riesgos de explotación. Las recomendaciones clave incluyen:
- Aislar los sistemas de control del acceso a internet.
- Implementar firewalls entre las redes corporativas y de control.
- Utilizar conexiones VPN seguras para el acceso remoto.
Las organizaciones deben priorizar un análisis de impacto y evaluación de riesgos adecuados antes de implementar medidas defensivas. La agencia también incentiva a reportar cualquier actividad maliciosa sospechosa y a seguir los procedimientos de respuesta a incidentes establecidos. Aunque no se ha reportado explotación pública de estas vulnerabilidades, sus altas puntuaciones CVSS y su amplia implementación en infraestructuras críticas requieren atención y esfuerzos de remediación inmediatos.
