This website uses cookies

Read our Privacy policy and Terms of use for more information.

EDITORIAL

Rockwell Automation acapara la atención esta semana con diez vulnerabilidades en seis productos distintos, publicadas en un solo bloque de avisos. Dos de ellas son críticas. Una afecta los adaptadores FLEX I/O y permite cambiar la contraseña del servidor web embebido sin autenticación previa. La otra afecta FactoryTalk Historian SE y permite obtener un token de sesión válido enviando peticiones repetidas al endpoint de login. Schneider Electric, por su parte, suma dos avisos propios: uno que toca más de treinta modelos de relés de protección y RTUs, y otro con una vulnerabilidad de path traversal en sus RTUs Saitel/EasyLogic. Si tienes en planta equipos de Rockwell, Schneider Electric, Mitsubishi Electric, Moxa o Turck, esta edición es para ti.

Vulnerabilidades de la semana

Crítico

FLEX I/O 1794-AENTR: cambio de contraseña sin autenticación.

Los adaptadores FLEX I/O EtherNet/IP en firmware V2.012 tienen dos fallas. La más grave permite a cualquier atacante sin credenciales cambiar la contraseña del servidor web embebido del dispositivo. Solo necesita enviar una petición HTTP GET manipulada a un endpoint específico. El resultado inmediato es toma de control de la interfaz web, pérdida de acceso legítimo y posible DoS. La segunda falla, también en V2.012, provoca que el adaptador pierda conexión con sus módulos de I/O asociados ante peticiones CIP mal formadas. En un entorno de manufactura continua, perder la comunicación con los módulos de I/O puede traducirse en paradas no programadas o condiciones de fallo inseguras. Rockwell ya tiene el firmware V2.013 disponible. (CVE-2026-0647, CVE-2026-0646)

Acción sugerida: Actualizar inmediatamente a firmware V2.013 en todos los 1794-AENTR y 1794 AENTRXT. Si la actualización no es posible de forma inmediata, bloquear el acceso al servidor web del adaptador a nivel de firewall y restringir el segmento de red donde opera.

FactoryTalk Historian SE: bypass de autenticación por condición de carrera.

En FactoryTalk Historian SE versión 11, existe una condición de carrera en el proceso de login. Un atacante puede obtener un token de sesión válido enviando peticiones en ráfaga al endpoint de autenticación, sin conocer credenciales. En términos prácticos: acceso de lectura y escritura al historian sin credenciales válidas. Para entornos donde el historian está en la DMZ OT o accesible desde red corporativa, el riesgo es alto. Rockwell publicó el parche B F32850 para la versión 11 y recomienda actualizar a V12.00.00. Las dos vulnerabilidades adicionales en el mismo producto (DoS por excepción no controlada en subsistemas PI Data Archive) son heredadas del stack AVEVA subyacente y requieren credenciales para explotar, pero también tienen corrección disponible. (CVE-2025-13036, CVE-2025-44019, CVE-2025-36539)

Acción sugerida: Aplicar el parche BF32850 o actualizar a V12.00.00. Mientras tanto, restringir el puerto 5450 a estaciones de trabajo y software de confianza, y configurar los servicios PI Network Manager y PI Archive Subsystem para reinicio automático ante fallo.

Schneider Electric: entropía insuficiente en sesiones de 30+ productos de protección y automatización eléctrica

Una sola CVE (CVE-2026-4827) afecta a más de treinta SKUs de Schneider Electric: relés de protección MiCOM P139, P437, P439, P532, P539, P631–P634, P138, P436, P438, P638, C434, C264; la plataforma EcoStruxure Power Operation (versiones 2022 CU6 y 2024 CU2 y anteriores); el gateway EPAS-GTW; la interfaz EPAS-UI; y los relés PowerLogic P5, P7, T300 y T500. El problema es entropía insuficiente en la gestión de sesiones (CWE-331). Un atacante en la misma red puede predecir o forzar identificadores de sesión y obtener acceso no autorizado. La serie MiCOM P40 con opciones de protocolo G, H o L no tiene parche disponible aún. Para esos modelos, Schneider solo ofrece mitigación por segmentación y reducción del tiempo de inactividad de sesión. Schneider publicó correcciones para la mayoría de los productos afectados entre mayo y junio de 2026. CISA republicó el aviso el 18 de junio. (CVE-2026-4827, CVSS 8.3)

Acción sugerida: Verificar versiones de firmware en todos los relés MiCOM y plataformas EcoStruxure Power listados. Actualizar siguiendo la guía SEVD-2026-132-02. Para la serie MiCOM P40 sin parche disponible, garantizar segmentación estricta del segmento de protección y reducir el timeout de sesión usando la herramienta CAE.

Medio

CompactLogix 5370 y Logix 5570/5370: DoS vía CIP y exposición de Connection IDs

Dos avisos distintos afectan a la familia Logix esta semana. El primero cubre los controladores CompactLogix 5370 (L1/L2/L3) con firmware anterior a V38.011: el servidor web integrado expone los CIP Connection IDs sin autenticación. Esos IDs pueden usarse para construir paquetes maliciosos que provocan un minor fault. La combinación de ambas fallas, divulgación de Connection IDs más ausencia de validación de secuencia/IP, baja el esfuerzo del ataque. El segundo aviso cubre CompactLogix 5370, Compact GuardLogix 5370, ControlLogix 5570 y GuardLogix 5570 en versiones anteriores a 34.016/35.015/36.012: un mensaje CIP especialmente construido provoca un Major Nonrecoverable Fault (MNRF). Recuperarse de un MNRF requiere descargar el programa de nuevo al controlador. En líneas de producción en marcha, eso implica parada no programada. (CVE-2025-11694, CVE-2026-9307, CVE-2026-11317)

Acción sugerida: Actualizar CompactLogix 5370 a V38.011. Actualizar ControlLogix 5570 a V36.012 o posterior y GuardLogix 5570 a V37.011 o posterior. Mientras se aplican las actualizaciones, bloquear el acceso al servidor web de diagnóstico del controlador desde redes no confiables.

En breve

  • Schneider Electric EasyLogic T150 y Saitel DP (CVE-2026-6865, CVSS 7.1): path traversal en el procesamiento de rutas de archivos en el lado del servidor. Un usuario con privilegios bajos puede acceder a archivos sensibles del sistema. Parche disponible: firmware 11.06.32 para T150 y 11.06.37 para Saitel DP.

  • Mitsubishi Electric MELSEC iQ-F FX5-EIP y FX5-ENET/IP (CVE-2026-8805, CVE-2026-8806, CVSS 7.5/8.7 en CVSSv4): dos fallas de DoS en módulos EtherNet/IP de la serie iQ-F. El FX5-EIP tiene corrección en versión 1.001. El FX5-ENET/IP no tendrá parche; Mitsubishi recomienda migrar al FX5-EIP o aplicar filtrado IP y segmentación de red.

  • iba ibaPDA e ibaDatCoordinator (CVE-2026-8024, crítica): deserialización de datos no confiables que permite a un atacante remoto sin credenciales obtener acceso completo al sistema. Actualizar a ibaPDA v8.14.0 e ibaDatCoordinator v4.0.7.

  • Turck TBEN Managed Ethernet Switches (CVE-2026-5416, crítica): inyección de comandos OS con bajos privilegios vía parámetro de nombre. Actualizar al firmware 2.1.2.0. Dispositivos presentes frecuentemente en cabinets de automatización con acceso a red de planta.

  • RSLinx Classic ≤4.50.00 (CVE-2020-13573): Rockwell republicó formalmente este aviso. Se trata de un stack buffer overflow con CVSS 7.5 originalmente reportado en 2020 que sigue sin parchear en instalaciones que no han actualizado. Si tienes RSLinx Classic en producción, verifica que estés en V4.60.0.0 o posterior.

PARA CERRAR

La semana viene cargada, pero el patrón es claro: Rockwell publicó en dos días más de diez avisos que tocan desde el historian hasta los PLCs de línea. Si gestionas una planta con ecosistema Rockwell, hoy es buen día para abrir el inventario y comparar versiones. Y si tienes algún MiCOM P40 de Schneider con opciones de protocolo G, H o L, no hay parche todavía. La segmentación no es opcional mientras ese firmware sigue expuesto. Como siempre, si algo de lo que leíste esta semana te genera preguntas o quieres discutir cómo priorizar el plan de actualización, responde este correo.

Keep Reading

© 2026 Perímetro.
beehiivPowered by beehiiv