Continuamos explorando innovación en IA, software personalizado y trucos para optimizar procesos de desarrollo. Inspiración y conocimiento para profesionales y empresas.

Para más detalles, visita el CSAF.

Q2BSTUDIO es una empresa de desarrollo y servicios tecnológicos. Ver CSAF

El CVSS v4 es de 9.2

ATENCIÓN: Explotable de forma remota/Complejidad de ataque baja

Vendedor: B&R

Equipo: APROL

Vulnerabilidades: Inclusión de Funcionalidad de Esfera de Control No Confiada, Filtrado Incompleto de Elementos Especiales, Control Inadecuado de Generación de Código ('Inyección de Código'), Manejo Inadecuado de Permisos o Privilegios Insuficientes, Asignación de Recursos Sin Límites o Regulación, Autenticación Faltante para Función Crítica, Exposición de Información Confidencial del Sistema a una Esfera de Control No Autorizada, Exposición de Elemento de Datos a una Sesión Incorrecta, Falsificación de Petición del Lado del Servidor (SSRF), Neutralización Incorrecta de Entrada Durante la Generación de Página Web ('Cross-site Scripting'), Control Externo de Nombre de Archivo o Ruta, Asignación Incorrecta de Permisos para Recurso Crítico

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante ejecutar comandos, elevar privilegios, recopilar información confidencial o alterar el producto.

B&R ha identificado los siguientes Métodos de Trabajo del Aprol y Aprol-correlativos:

Versión del APROL 4.4-01: B&R recomienda que los usuarios apliquen el parche o actualicen a una versión no vulnerable lo antes posible.

Versión del APROL 4.4-00P1: B&R recomienda que los usuarios apliquen el parche o actualicen a una versión no vulnerable lo antes posible.

Versión del APROL 4.4-00P5: B&R recomienda que los usuarios apliquen el parche o actualicen a una versión no vulnerable lo antes posible.

Para obtener más información, consulte el aviso de seguridad de B&R.

No se han reportado públicamente explotaciones específicas dirigidas a estas vulnerabilidades hasta el momento.

3 de abril de 2025: Publicación inicial de B&R SA24P015

• ICSA-25-093-01 Hitachi Energy RTU500 Series
• ICSA-25-093-02 Hitachi Energy TRMTracker
• ICSA-25-093-03 ABB ACS880 Drives Containing CODESYS RTS
• ICSA-25-093-04 ABB Low Voltage DC Drives and Power Controllers CODESYS RTS
• ICSA-25-093-05 B&R APROL

CISA recomienda a los usuarios y administradores revisar los nuevos avisos de ICS publicados para obtener detalles técnicos y mitigaciones.

Ver CSAF

1. RESUMEN EJECUTIVO

• CVSS v3 8.8
• ATTENTION: Exploitable remotamente/baja complejidad de ataque
• Vendedor: ABB
• Equipamiento: Unidad de memoria DCT880 incluido licencia de ABB Drive Application Builder (IEC 61131-3), Unidad de memoria DCT880 incluido Optimizador de Energía, Unidad de memoria DCS880 incluido licencia de ABB Drive Application Builder (IEC 61131-3), Unidad de memoria DCS880 incluido DEMag, Unidad de memoria DCS880 incluido DCC
• Vulnerabilidades: Validación Incorrecta de Entrada, Escritura Fuera de Límites, Restricción Incorrecta de Operaciones dentro de los Límites de un Buffer de Memoria

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de estas vulnerabilidades podría permitir a los atacantes desencadenar una condición de denegación de servicio o ejecutar código arbitrario a través de las interfaces del bus de campo.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

ABB informa que los siguientes productos de accionamiento de CC de baja tensión y controlador de potencia contienen una versión vulnerable de CODESYS Runtime:

• Unidad de memoria DCT880 incluido licencia de ABB Drive Application Builder (IEC 61131-3): Todas las versiones
• Unidad de memoria DCT880 incluido Optimizador de Energía: Todas las versiones
• Unidad de memoria DCS880 incluido licencia de ABB Drive Application Builder (IEC 61131-3): Todas las versiones
• Unidad de memoria DCS880 incluido DEMag: Todas las versiones
• Unidad de memoria DCS880 incluido DCC: Todas las versiones

3.2 RESUMEN DE VULNERABILIDADES

3.2.1 VALIDACIÓN INCORRECTA DE ENTRADA CWE-20

Después de la autenticación exitosa como usuario en múltiples versiones de varios productos CODESYS, solicitudes de comunicación de red específicamente diseñadas con contenido inconsistente pueden causar que el componente CmpAppForce lea internamente desde una dirección inválida, lo que podría llevar a una condición de denegación de servicio.

CVE-2023-37559 ha sido asignado a esta vulnerabilidad. Se ha calculado un puntaje base de CVSS v3 de 6.5; el vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).

Más información en la sitio web de Q2BSTUDIO.

Today, CISA—in partnership with the National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), Canadian Centre for Cyber Security (CCCS), and New Zealand’s National Cyber Security Centre (NCSC-NZ)—released joint Cybersecurity Advisory Fast Flux: A National Security Threat (PDF, 841 KB). This advisory warns organizations, internet service providers (ISPs), and cybersecurity service providers of the ongoing threat of fast flux enabled malicious activities and provides guidance on detection and mitigations to safeguard critical infrastructure and national security.

“Fast flux” is a technique used to obfuscate the locations of malicious servers through rapidly changing Domain Name System (DNS) records associated with a single domain name. This threat exploits a gap commonly found in network defenses, making the tracking and blocking of malicious fast flux activities difficult.

The authoring agencies strongly recommend adopting a multi-layered approach to detection and mitigation to reduce risk of compromise by fast flux-enabled threats. Service providers, especially Protective DNS providers (PDNS), should track, share information about, and block fast flux as part of their provided cybersecurity services. Government and critical infrastructure organizations should close this ongoing gap in network defenses by using cybersecurity and PDNS services that block malicious fast flux activity.

For more information on PDNS services, see Selecting a Protective DNS Service.

• Actualización de Seguridad de Abril | Ivanti
• Aviso de Seguridad de Abril Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)
• Sospecha de Amenaza de China-Nexus Explotando la Vulnerabilidad Crítica de Ivanti Connect Secure (CVE-2025-22457) | Blog de Google Cloud

Para cualquier instancia de Ivanti Connect Secure que no haya sido actualizada antes del 28 de febrero de 2025, a la última parche de Ivanti (22.7R2.6) y todas las instancias de Pulse Connect Secure (EoS), Policy Secure y ZTA Gateways, CISA insta a los usuarios y administradores a implementar las siguientes acciones:

1. Llevar a cabo acciones de caza de amenazas:
   1. Ejecutar una Herramienta de Comprobación de Integridad (ICT) externa. Para obtener más orientación, consulte las instrucciones de Ivanti.
   2. Llevar a cabo acciones de caza de amenazas en cualquier sistema conectado a - o conectado recientemente a - el dispositivo Ivanti afectado.
2. Si las acciones de caza de amenazas determinan que no hay compromiso:
   1. Para el más alto nivel de confianza, llevar a cabo un restablecimiento de fábrica.
      1. Para sistemas en la nube y virtuales, realizar un restablecimiento de fábrica utilizando una imagen limpia conocida del dispositivo.
   2. Aplicar el parche descrito en el Aviso de Seguridad de Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457). Tenga en cuenta que los parches para Ivanti ZTA Gateways y Ivanti Policy Secure estarán disponibles el 19 y 21 de abril, respectivamente.
   3. Monitorear los servicios de autenticación o gestión de identidad que podrían estar expuestos.
   4. Continuar auditando las cuentas de acceso de nivel de privilegio.
3. Si las acciones de caza de amenazas determinan compromiso:
   1. Para los dispositivos que se confirmen comprometidos, aislar todas las instancias afectadas de la red. Mantener los dispositivos afectados aislados hasta que se completen las siguientes orientaciones y se apliquen los parches.
   2. Tomar una imagen forense (incluida la captura de memoria) o trabajar con Ivanti para obtener una copia de la imagen.
   3. Desconectar todas las instancias comprometidas.
   4. Para el más alto nivel de confianza, llevar a cabo un restablecimiento de fábrica.
      1. Para sistemas en la nube y virtuales, realizar un restablecimiento de fábrica utilizando una imagen limpia conocida del dispositivo.
   5. Revocar y volver a emitir cualquier certificado, clave y contraseña conectados o expuestos, incluyendo lo siguiente:
      1. Restablecer la contraseña de habilitación de admin.
      2. Restablecer las claves de interfaz de programación de aplicaciones (API) almacenadas.
      3. Restablecer la contraseña de cualquier usuario local definido en el gateway, incluyendo cuentas de servicio utilizadas para la configuración del servidor de autenticación.
   6. Si las cuentas de dominio asociadas con los productos afectados han sido comprometidas:
      1. Restablecer las contraseñas dos veces para las cuentas locales, revocar los tickets Kerberos y luego revocar los tokens para las cuentas en la nube en implementaciones híbridas.
      2. Para dispositivos unidos/registrados en la nube, deshabilitar los dispositivos en la nube para revocar los tokens del dispositivo.
   7. Aplicar el parche descrito en el Aviso de Seguridad de Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457). Tenga en cuenta que los parches para Ivanti ZTA Gateways y Ivanti Policy Secure estarán disponibles el 19 y 21 de abril, respectivamente.
   8. Reportar a CISA e Ivanti de inmediato.

Las organizaciones deben reportar incidentes y actividad anómala al Centro de Operaciones 24/7 de CISA en Report@cisa.gov o (888) 282-0870.