La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha publicado recientemente seis avisos críticos dirigidos a sistemas de control industrial (ICS). Estas advertencias destacan vulnerabilidades que, de no ser abordadas, podrían permitir accesos no autorizados, comprometer sistemas esenciales o exponer datos sensibles.
Detalles de las Vulnerabilidades
- mySCADA myPRO Manager – Inyección de Comandos del Sistema OperativoSe identificaron dos vulnerabilidades críticas en myPRO Manager y myPRO Runtime de mySCADA, que permiten a atacantes remotos ejecutar comandos arbitrarios del sistema operativo.
- CVE-2025-20061: Explotable a través de solicitudes POST relacionadas con el procesamiento de información de correo electrónico.
- CVE-2025-20014: Explotable mediante solicitudes POST relacionadas con información de versión.
- myPRO Manager: Versiones anteriores a la 1.3.myPRO Runtime: Versiones anteriores a la 9.2.1.
- Hitachi Energy RTU500 Series – Omisión de Seguridad en Actualización de FirmwareUna vulnerabilidad en el firmware de la serie RTU500 de Hitachi Energy permite a usuarios autenticados eludir verificaciones de seguridad durante las actualizaciones, posibilitando la instalación de firmware no firmado.
- CVE-2024-2617: Permite a atacantes manipular actualizaciones de firmware.
- Firmware versiones 13.5.1–13.5.3, 13.4.1–13.4.4 y 13.2.1–13.2.7.
- Schneider Electric EVlink Home Smart y Schneider Charge – Almacenamiento de Información Sensible en Texto PlanoSe detectó que estos dispositivos almacenan información sensible en texto plano, lo que podría exponer credenciales de prueba en los binarios del firmware.
- CVE-2024-8070: Facilita el acceso no autorizado a datos sensibles.
- EVlink Home Smart: Todas las versiones anteriores a la 2.0.6.0.0.Schneider Charge: Todas las versiones anteriores a la 1.13.4.
- Schneider Electric Easergy Studio – Vulnerabilidad de Escalada de PrivilegiosUna falla en la gestión de privilegios permite a atacantes con acceso al sistema de archivos obtener privilegios elevados.
- CVE-2024-9002: Puede comprometer la confidencialidad, integridad y disponibilidad de la estación de trabajo.
- Easergy Studio versiones 9.3.1 y anteriores.
- Schneider Electric EcoStruxure Power Build Rapsody – Explotación de Buffer de MemoriaUna vulnerabilidad en la restricción del buffer de memoria podría permitir a atacantes ejecutar código arbitrario al abrir un archivo de proyecto malicioso.
- CVE-2024-11139: Impacto potencial cuando se explota localmente.
- Varias versiones localizadas, incluyendo v2.5.2 NL, v2.7.1 FR, v2.7.5 ES y v2.5.4 INT, entre otras.
- HMS Networks Ewon Flexy 202 – Transmisión de Credenciales en Texto PlanoSe descubrió que el Ewon Flexy 202 transmite credenciales de usuario en texto plano cuando se añaden o modifican usuarios a través de la página web, haciéndolas susceptibles a intercepciones.
- CVE-2025-0432: Vulnerabilidad explotable.
Recomendaciones Generales
Las organizaciones que operan sistemas de control industrial deben:
- Actualizar Sistemas: Asegurarse de que todos los sistemas y dispositivos estén actualizados con los últimos parches de seguridad proporcionados por los fabricantes.
- Restringir Accesos: Limitar el acceso a sistemas críticos solo al personal autorizado y utilizar autenticación multifactor cuando sea posible.
- Monitorear Actividades: Implementar soluciones de monitoreo continuo para detectar actividades sospechosas o no autorizadas en tiempo real.
- Capacitar al Personal: Ofrecer formación regular en ciberseguridad para garantizar que el equipo esté al tanto de las mejores prácticas y procedimientos de seguridad.
Servicios de AutDefend
En AutDefend ofrecemos servicios especializados de ciberseguridad, que incluyen la implementación de controles basados en CIS, gestión de riesgos según ISO 27001, capacitación en seguridad de la información y mucho más. Nuestro equipo te guiará en cada paso para asegurar que tu organización cumpla con los más altos estándares de seguridad.
En AutDefend, ofrecemos servicios especializados para proteger a tu organización contra amenazas cibernéticas emergentes:
- Auditorías de Seguridad y Evaluaciones de Riesgo: Evaluaciones integrales de riesgos de ciberseguridad: para identificar vulnerabilidades y áreas de mejora en la infraestructura de TI.
- All in One: Soluciones de seguridad de endpoints (Antivirus avanzado), gestión de vulnerabilidades, capacitación contra phishing y respuesta ante amenaz
- CISO as A Service: Expertos en cumplimiento y ciberseguridad (ISO 27001, NIST , CIS controls, ISC2.org, Ethical Hacking) certificados para asesorarlo y dirigir la ciberseguridad en su empresa.
- Capacitación y preparación contra Phishing: Ejercicios de Phishing y Capacitación capacitan a los empleados con ejemplos reales. Ofrecemos programas integrales de capacitación y medición de conciencia de phishing
- Auditorías a Terceros: Auditamos proveedores para garantizar que sus cumplan con los estándares de ciberseguridad, salvaguardando su cadena de suministro.
- Pentesting: Prueba de penetración simula ataques del mundo real para evaluar la resistencia de su infraestructura y aplicaciones.
- Análisis estático de aplicaciones vs OWASP: Nuestro servicio profundiza en el código de su aplicación, identificando posibles puntos débiles como inyecciones de SQL y fugas de datos.
- Hackeo ético: Expertos utiliza el hacking ético para descubrir y corregir vulnerabilidades antes de que ataquen los ciberdelincuentes.
Contacto
Para conocer más sobre cómo proteger su organización y fortalecer su postura de ciberseguridad, visite nuestro sitio web o contáctenos en info@autdefend.com.
