EDITORIAL
Siemens aparece esta semana con al menos cuatro avisos distintos. Un solo fabricante concentra vulnerabilidades que abarcan desde WinCC y SIPROTEC 5, hasta toda la familia SCALANCE y SINEC INS. Eso no es casual: es un patrón que merece atención inmediata. Sumado a esto, Daktronics recibe confirmación doble, de CISA e INCIBE, sobre credenciales hardcodeadas y carga de archivos sin restricción en sus controladores DMP. El tercer dato que no debe pasar desapercibido: un OpenSSL con CVSS 9.8 toca más de cien productos Siemens en producción activa. Si su inventario incluye equipos de Siemens, Daktronics, Schneider Electric, Yokogawa o Delta Electronics, esta edición es para revisar antes del fin de semana.
Vulnerabilidades de la semana
Crítico
OpenSSL con desbordamiento de pila en más de cien productos Siemens
Un stack buffer overflow en el parseo de mensajes CMS AuthEnvelopedData con parámetros AEAD malformados afecta a prácticamente todo el portafolio de Siemens que usa OpenSSL 3.x. El vector es remoto, sin autenticación y sin interacción del usuario (CVSS v3 9.8). El desbordamiento ocurre antes de cualquier verificación de autenticidad, lo que significa que no se necesita material criptográfico válido para activarlo. La lista de productos afectados es extensa: SCALANCE M/S/SC/W/X, SIMATIC WinCC (V7.5, V8.0, V8.1, OA, Runtime Advanced), SIMATIC HMI Panels, SINEC INS, SINEC NMS, SINAMICS G200/G220/S200/S210/S220, SIMATIC STEP 7 V5, SIMATIC IOT2050, RUGGEDCOM, y muchos más. Siemens ya publicó correcciones para varios productos; otros están en proceso o no tienen fix planeado. En entornos OT el riesgo se amplifica si estos equipos procesan contenido CMS/PKCS#7 proveniente de fuentes externas —correo, intercambio de archivos, OPC UA— sin inspección previa. (CVE-2025-15467)
Acción sugerida: Priorizar el inventario de todos los productos Siemens que usen OpenSSL 3.x. Aplicar las versiones corregidas disponibles (SINEC INS → V1.0 SP2 Update 5; SIMATIC WinCC OA → V3.19 P024 / V3.20 P012 / V3.21 P02; SIMATIC HMI/WinCC Runtime Advanced → V17 Update 9; UMC → V2.15.3.0; STEP 7 V5 → SP4). Para los que no tienen fix disponible, restringir el acceso a interfaces que procesen contenido CMS externo y no aceptar archivos de fuentes no verificadas.
Daktronics DMP-5000/8000 — credenciales fijas, carga irrestricta y path traversal
Tres vulnerabilidades en el firmware de los controladores Daktronics forman una cadena de compromiso completo. La más grave es una cuenta administrativa de fábrica con credenciales débiles que no se exige cambiar en ningún momento del ciclo de vida del dispositivo (CVSS v4 9.3). Combinada con el path traversal que permite enumerar el sistema de archivos sin autenticación (CVSS v4 9.3) y la carga sin validación de archivos ejecutables en el servidor (CVSS v4 8.4), un atacante remoto puede obtener acceso root total. Este aviso fue reportado simultáneamente por CISA e INCIBE-CERT, lo que refuerza su relevancia. Los controladores DMP se usan en entornos de instalaciones comerciales, servicios de emergencia y salud pública. (CVE-2026-28701, CVE-2026-31928, CVE-2026-33560)
Acción sugerida: Actualizar el firmware a las versiones 8.117.0.x, 9.43.0.x o 10.34.0.x según la rama de producto en uso. Cambiar inmediatamente las credenciales por defecto en todos los dispositivos, incluso si ya se actualizó el firmware.
Siemens SINEC INS — inyección de comandos OS y escalada local a root
SINEC INS anterior a V1.0 SP2 Update 6 acumula cuatro vulnerabilidades encadenables. La más severa: el endpoint /api/sftp/uploadFiles no sanea nombres de directorio, permitiendo inyección de comandos de shell que se ejecutan con los privilegios del servicio (CVSS v3 8.8). Un binario del sistema tiene habilitada la capability cap_dac_override, que permite bypassear todos los permisos del sistema de archivos y escalar a root desde una sesión local con privilegios bajos (CVSS v3 8.8). Adicionalmente, el esquema de hashing de contraseñas usa un valor de aleatoriedad estático hardcodeado e idéntico en todas las instalaciones, lo que hace trivial la recuperación por fuerza bruta offline. El path traversal en el mismo endpoint completa el panorama. SINEC INS gestiona configuraciones de red industrial centralizada; un compromiso aquí puede afectar múltiples segmentos OT simultáneamente. (CVE-2026-46746, CVE-2026-46747, CVE-2026-46748, CVE-2026-46749)
Acción sugerida: Actualizar a SINEC INS V1.0 SP2 Update 6 o posterior. Validar que los usuarios con acceso al sistema tienen el mínimo privilegio necesario y auditar si el binario con cap_dac_override está presente en instalaciones actuales.
Siemens SIPROTEC 5 — carga arbitraria de archivos vía protocolo DIGSI 5
Todas las versiones de los relés de protección SIPROTEC 5 (prácticamente toda la familia: 7SA, 7SD, 7SJ, 7SL, 7SK, 7UT, 7VK, 7ST, 7SX, 6MD, entre otros) permiten que un usuario autenticado cargue archivos de cualquier tipo sin restricción usando el protocolo DIGSI 5. El resultado puede ser una condición de denegación de servicio permanente o potencialmente ejecución de código mediante configuraciones maliciosas. SIPROTEC 5 son relés de protección críticos en subestaciones y redes eléctricas industriales; un DoS en estos dispositivos puede tener impacto directo en la operación de sistemas de potencia. Siemens ya liberó la versión 9.90 con lista de archivos permitidos para modelos CP050/CP100/CP150/CP300, y V10.00 para 7ST85 y 7ST86; algunos modelos no tienen corrección planificada. (CVE-2025-40808)
Acción sugerida: Actualizar a V9.90 o posterior según el modelo (V10.00 para 7ST85/7ST86). Mientras tanto, habilitar protección con contraseña en todas las conexiones DIGSI y activar control de acceso basado en roles (RBAC) en el dispositivo. Para dispositivos sin corrección disponible, restringir físicamente el acceso a la interfaz DIGSI.
En breve
Schneider Electric PowerLogic P7** — Tres vulnerabilidades en la plataforma de protección y control: DoS por NULL pointer dereference (CVSS 7.5), inyección de comandos OS con privilegios elevados (CVSS 7.2) y un segundo vector de DoS. La versión V02.004.001 corrige todo; mientras tanto, restringir acceso a los puertos 8080 y 3702.
Yokogawa FAST/TOOLS y CI Server** — Transmisión de información de configuración en texto claro, sin autenticación requerida para el atacante (CVSS v4 8.2). Afecta versiones R9.01 a R10.04 de FAST/TOOLS y R1.01 a R1.04 de CI Server. Confirmado por CISA e INCIBE. Aplicar FAST/TOOLS R10.04 SP4 y CI Server R1.05. (CVE-2026-11833)
Delta Electronics DTM Soft** — Deserialización de datos no confiables que permite ejecución de código arbitrario al abrir un archivo de proyecto manipulado (CVSS v4 8.4). Afecta todas las versiones; no hay parche disponible aún. No abrir archivos de proyecto de fuentes no verificadas y evitar ejecutar DTM Soft con privilegios de administrador. (CVE-2026-12578)
Moxa Secure Router (TN-4900, TN-5900, EDR-8010/G9010, NAT-102/108, OnCell G43xx)** — DoS remoto sin autenticación por manejo incorrecto de longitud de parámetros en la interfaz HTTPS (CVE-2026-3868, CVSS alto) y exposición del hash de contraseña administrativa en archivo de configuración exportado (CVE-2026-3867). Actualizar al firmware corregido según modelo.
B&R APROL y Linux for B&R (≤v12)** — Cinco vulnerabilidades del kernel Linux con exploits públicos disponibles. Permiten escalada de privilegios locales a root. Hay un parche disponible para APROL (versión APROL-AutoYaST-DVD-V4.4-010.10.260602). Aplicar actualizaciones o deshabilitar el módulo
algif_aeadcomo mitigación temporal mientras se planifica la actualización.
PARA CERRAR
Esta semana la señal más clara no viene de una sola vulnerabilidad sino del volumen: Siemens con cuatro avisos simultáneos, Daktronics confirmado por dos agencias, B&R con exploits públicos ya disponibles. No es momento de esperar la siguiente ventana de mantenimiento si alguno de estos productos está en su red OT sin segmentación adecuada. Si hay algo en esta edición que le genera dudas sobre cómo priorizar en su entorno específico, responda este correo. Lo leemos.