Contexto
Além de nossas Notificações de Vulnerabilidades (NDVs) referentes a produtos e serviços relacionados à Tecnologia da Informação, trazemos, com a Notificação de Vulnerabilidade Mensal OT-ICS, informações sobre vulnerabilidades direcionadas a ambientes de OT (Tecnologia Operacional) e ICS (Sistemas de Controle Industrial).
Setores de infraestrutura crítica, que impactam serviços fundamentais da sociedade, contam com ambientes de OT cada vez mais conectados a redes de TI. Nos últimos anos, temos observado um aumento crescente em ataques explorando estas tecnologias ou se aproveitando da interseção entre componentes físicos e softwares para abalar diretamente o bom funcionamento de serviços essenciais, colocando vidas e economias em risco.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado, o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
Schneider Electric EcoStruxure IT Data Center Expert
Network Thermostat X-Series WiFi Thermostats
Packet Power EMX and EG Monitoring
ARC Solo (Burk Technology)
Delta Electronics DIAView
Tigo Energy Cloud Connect Advanced
Rockwell Automation ControlLogix Ethernet Modules
Rockwell Automation Micro800
Honeywell Experion PKS
Rockwell Automation Lifecycle Services with VMware
Siemens SIMATIC RTLS Locating Manager
THINK AHEAD, ACT NOW.
Schneider Electric EcoStruxure IT Data Center Expert
Descrição
Uma falha crítica de injeção de comandos do sistema operacional existe no sistema de monitoramento de data center. A vulnerabilidade permite neutralização inadequada de elementos especiais usados em comandos do sistema operacional, possibilitando execução remota de código não autenticada quando uma pasta maliciosa é criada através da interface web HTTP quando habilitada. Embora o HTTP esteja desabilitado por padrão, quando ativado, atacantes podem explorar esta falha remotamente com baixa complexidade de ataque, sem necessidade de autenticação ou interação do usuário, comprometendo completamente a confidencialidade, integridade e disponibilidade do sistema de gerenciamento de infraestrutura crítica de data center.
Sistemas afetados
- EcoStruxure IT Data Center Expert: Versões 8.3 e anteriores
Remediações de contorno
Para usuários que optarem por não aplicar a correção disponível, devem implementar imediatamente as seguintes mitigações: aplicar práticas de segurança cibernética documentadas no Security Handbook do EcoStruxure IT Data Center Expert e fortalecer a instância DCE seguindo as melhores práticas de segurança recomendadas.
Solução
A Schneider Electric disponibilizou a versão 9.0 do EcoStruxure IT Data Center Expert que inclui correções para todas as vulnerabilidades identificadas. A atualização está disponível mediante solicitação ao Centro de Atendimento ao Cliente da Schneider Electric. Recomenda-se aplicar a atualização utilizando metodologias robustas, incluindo testes em ambientes de desenvolvimento.
Fontes primárias e secundárias
Network Thermostat X-Series WiFi Thermostats
Descrição
O servidor web embutido nesses controladores de climatização expõe uma função crítica sem autenticação, permitindo que um agente remoto, na mesma rede local ou via Internet por meio de port forwarding, acesse diretamente a interface e redefina credenciais ao manipular elementos específicos da interface web. A exploração bem-sucedida pode conceder acesso administrativo completo ao dispositivo e possibilitar alterações não autorizadas de parâmetros operacionais do sistema de automação predial. Informações detalhadas não foram divulgadas pelo fabricante.
Sistemas afetados
- X-Series WiFi thermostats v4.5 até, mas não incluindo, v4.6
- X-Series WiFi thermostats v9.6 até, mas não incluindo, v9.46
- X-Series WiFi thermostats v10.1 até, mas não incluindo, v10.29
- X-Series WiFi thermostats v11.1 até, mas não incluindo, v11.5
Remediações de contorno
Enquanto a atualização não for aplicada, recomenda-se eliminar exposição direta à Internet, segmentar a rede e posicionar esses equipamentos atrás de firewalls, além de habilitar acesso remoto somente por VPN atualizada e estritamente necessária.
Solução
Atualizar para as versões mínimas recomendadas pelo fabricante (v4.6, v9.46, v10.29 ou v11.5, conforme a branch instalada). Unidades alcançáveis receberam update automático; se o equipamento estiver atrás de firewalls, o suporte da Network Thermostat deve ser acionado para coordenar a atualização.
Fontes primárias e secundárias
Packet Power EMX and EG Monitoring and Control
Descrição
A interface web de monitoramento e controle desses dispositivos não impõe nenhum mecanismo de autenticação por padrão, permitindo que usuários não autorizados acessem e manipulem funções críticas sem necessidade de credenciais. A exploração é trivial: qualquer agente com conectividade de rede ao dispositivo pode visualizar dados sensíveis e reconfigurar parâmetros operacionais sem limites.
Sistemas afetados
- Packet Power EMX com firmware anteriores à versão 4.1.0
- Packet Power EG com firmware anteriores à versão 4.1.0
Remediações de contorno
Enquanto a atualização não estiver disponível ou aplicada, recomenda-se isolar os dispositivos em redes segregadas, bloquear o acesso direto à interface web via firewalls e permitir acesso remoto somente por VPN segura. Monitorar tráfego de rede e tentativas de acesso não autorizado pode ajudar a detectar exploração.
Solução
O fabricante corrigiu a falha na versão 4.1.0 do firmware para ambos EMX e EG. A atualização deve ser aplicada o mais rápido possível.
Fontes primárias e secundárias
ARC Solo (Burk Technology)
Descrição
O mecanismo de alteração de senha do ARC Solo permite que uma solicitação seja enviada diretamente ao endpoint HTTP do dispositivo sem autenticação válida, possibilitando que um atacante altere a senha e assuma o controle do dispositivo. O sistema não aplica autenticação nem validação de sessão, resultando em risco total de comprometimento.
Sistemas afetados
- ARC Solo anterior à versão v1.0.62
Remediações de contorno
Até que a atualização seja aplicada, recomenda-se isolar os dispositivos ARC Solo da Internet, segmentando a rede e permitindo acesso remoto somente via VPN segura atualizada.
Solução
Atualizar para a versão v1.0.62 ou superior do firmware do ARC Solo. A correção foi disponibilizada pelo fabricante e pode ser obtida em seu site oficial.
Fontes primárias e secundárias
Delta Electronics DIAView
Descrição
O Delta Electronics DIAView apresenta uma vulnerabilidade de path traversal que permite a leitura e escrita remota de arquivos no sistema. Um atacante pode manipular parâmetros de URL para acessar diretórios restritos, comprometendo a confidencialidade, integridade e disponibilidade dos dados.
Sistemas afetados
- Delta Electronics DIAView, versões v4.2.0 e anteriores
Remediações de contorno
Enquanto a atualização não estiver disponível ou aplicada, recomenda-se isolar os dispositivos DIAView da Internet, bloquear o acesso direto via firewalls, segmentar a rede e permitir acesso remoto somente por VPN segura atualizada. A Delta Electronics também recomenda que usuários não cliquem em links suspeitos disponíveis na internet, nem abram arquivos não solicitados enviados por e-mail.
Solução
Atualizar para a versão 4.3.0 ou outra mais recente do firmware do Delta Electronics DIAView, que corrige a vulnerabilidade. A atualização pode ser obtida no site oficial do fabricante.
Fontes primárias e secundárias
Tigo Energy Cloud Connect Advanced
Descrição
O dispositivo Tigo Energy Cloud Connect Advanced contém credenciais codificadas que permitem a usuários não autorizados obter acesso administrativo. Essa vulnerabilidade possibilita que atacantes escalem privilégios e assumam controle total do dispositivo, podendo modificar configurações do sistema, interromper a produção de energia solar e interferir nos mecanismos de segurança.
Sistemas afetados
- Tigo Energy Cloud Connect Advanced, versões até 4.0.1
Remediações de contorno
Enquanto a atualização não estiver disponível, recomenda-se isolar os dispositivos da Internet, bloquear o acesso direto via firewalls, segmentar a rede e permitir acesso remoto somente por VPN segura atualizada.
Solução
De acordo com a CISA, a fabricante ainda trabalha em uma correção para o problema.
Fontes primárias e secundárias
Rockwell Automation ControlLogix Ethernet Modules
Descrição
Uma falha de segurança existe devido ao agente web-based debugger (WDB) estar habilitado por padrão em dispositivos de produção. Quando atacantes se conectam ao agente WDB vulnerável utilizando um endereço IP específico, podem realizar dumps de memória, modificar conteúdo da memória e controlar o fluxo de execução do dispositivo. Esta vulnerabilidade permite acesso não autorizado de baixa complexidade, sem necessidade de autenticação ou interação do usuário, possibilitando comprometimento total da confidencialidade, integridade e disponibilidade dos sistemas afetados.
Sistemas afetados
- 1756-EN2T/D: Versão 11.004 e anteriores
- 1756-EN2F/C: Versão 11.004 e anteriores
- 1756-EN2TR/C: Versão 11.004 e anteriores
- 1756-EN3TR/B: Versão 11.004 e anteriores
- 1756-EN2TP/A: Versão 11.004 e anteriores
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Rockwell Automation recomenda a atualização para a versão de firmware 12.001 ou posterior. Caso não seja possível aplicar a correção imediatamente, devem ser implementadas práticas de segurança recomendadas pelo fabricante, incluindo minimização da exposição da rede e isolamento dos sistemas de controle.
Fontes primárias e secundárias
Rockwell Automation Micro800
Descrição
Múltiplas vulnerabilidades críticas afetam a linha de controladores lógicos programáveis Micro800. Três falhas originam-se de componentes vulneráveis do Azure RTOS: uma escrita fora dos limites no stack TCP/IP NetX Duo relacionada ao protocolo IGMP que pode levar à execução remota de código; vulnerabilidades de overflow de memória em diversos processos do NetX Duo (ICMP, TCP, SNMP, DHCP, NAT e FTP) permitindo execução remota de código; e uma falha no mecanismo de verificação de parâmetros do sistema operacional ThreadX que possibilita leitura e escrita arbitrárias, resultando em escalação de privilégios. Uma quarta vulnerabilidade decorre do manuseio inadequado de pacotes CIP Forward Close malformados, causando travamento do controlador com LED de falha vermelho sólido e estado não responsivo.
Sistemas afetados
- PLC Micro820 LC20: Todas as versões anteriores à V14.011
- PLC Micro850 LC50: Todas as versões anteriores à V12.013
- PLC Micro870 LC70: Todas as versões anteriores à V12.013
- PLC Micro850 L50E: Versões V20.011 até V22.011
- PLC Micro870 L70E: Versões V20.011 até V22.011
Remediações de contorno
O fabricante não divulgou remediações de contorno para estas vulnerabilidades.
Solução
A Rockwell Automation recomenda migração para versões corrigidas. Para modelos LC20, LC50 e LC70, a migração deve ser feita para os respectivos modelos L20E, L50E e L70E com firmware V23.011 ou posterior. Para modelos L50E e L70E já em uso, deve-se atualizar para V23.011 ou posterior. O firmware V23.011 para o modelo L20E tem lançamento previsto para setembro de 2025.
Fontes primárias e secundárias
Honeywell Experion PKS
Descrição
Uma falha crítica de integer underflow existe no componente Control Data Access (CDA) do sistema Experion PKS. Atacantes podem explorar esta vulnerabilidade remotamente para manipular canais de comunicação, causando uma falha durante operações de subtração que pode levar à execução remota de código. A vulnerabilidade permite acesso não autorizado com baixa complexidade de ataque, sem necessidade de autenticação ou interação do usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema de controle de processos industriais.
Sistemas afetados
- Experion PKS: Todas as versões anteriores à R520.2 TCU9 Hot Fix 1
- Experion PKS: Todas as versões anteriores à R530 TCU3 Hot Fix 1
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Honeywell recomenda a atualização imediata para as versões corrigidas Experion PKS R520.2 TCU9 Hot Fix 1 ou R530 TCU3 Hot Fix 1. Informações detalhadas sobre a correção estão disponíveis no Security Notice oficial da Honeywell.
Fontes primárias e secundárias
Rockwell Automation Lifecycle Services with VMware
Descrição
Múltiplas falhas críticas de segurança afetam componentes VMware utilizados nos serviços Rockwell Automation. A primeira vulnerabilidade consiste em um integer overflow no adaptador de rede virtual VMXNET3, permitindo execução de código no host. A segunda falha é um integer underflow na interface Virtual Machine Communication Interface (VMCI) que resulta em escrita fora dos limites. A terceira vulnerabilidade é um heap overflow no controlador Paravirtualized SCSI (PVSCSI) que também leva à escrita fora dos limites. Todas essas falhas permitem que atacantes com acesso administrativo a máquinas virtuais executem código arbitrário no sistema host, comprometendo completamente a segurança do ambiente virtualizado.
Sistemas afetados
- Industrial Data Center (IDC) with VMware: Gerações 1-4
- VersaVirtual Appliance (VVA) with VMware: Séries A e B
- Threat Detection Managed Services (TDMS) with VMware: Todas as versões
- Endpoint Protection Service with Rockwell Automation Proxy & VMware: Todas as versões
- Engineered and Integrated Solutions with VMware: Todas as versões
Remediações de contorno
Para usuários com contratos ativos de Infrastructure Managed Service ou Threat Detection Managed Service, a Rockwell Automation entrará em contato para discutir ações necessárias. Usuários sem contratos de serviços gerenciados devem consultar os advisories da Broadcom para obter patches específicos do VMware ESXi, incluindo as atualizações 8.0 U3f, 8.0 U2e e 7.0 U3w.
Solução
A correção envolve a aplicação das atualizações de segurança fornecidas pela Broadcom para os produtos VMware afetados. Para usuários que não podem atualizar imediatamente, devem ser implementadas práticas de segurança recomendadas pela Rockwell Automation.
Fontes primárias e secundárias
Siemens SIMATIC RTLS Locating Manager
Descrição
Uma falha crítica de validação de entrada inadequada existe em um script de backup do sistema SIMATIC RTLS Locating Manager. Atacantes autenticados remotamente com altos privilégios na aplicação podem explorar esta vulnerabilidade para executar código arbitrário com privilégios NT Authority/SYSTEM. A exploração bem-sucedida permite controle total do host afetado, possibilitando manipulação de configurações, interrupção operacional, roubo de dados ou movimento lateral na rede. A vulnerabilidade pode ser explorada remotamente com baixa complexidade de ataque, sem necessidade de interação do usuário.
Sistemas afetados
- SIMATIC RTLS Locating Manager: Todas as versões anteriores à V3.2
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Siemens recomenda a atualização imediata para a versão V3.2 ou posterior. Como medida geral de segurança, recomenda-se proteger o acesso de rede aos dispositivos com mecanismos apropriados e configurar o ambiente de acordo com as diretrizes operacionais de segurança industrial da Siemens.
Fontes primárias e secundárias
Context
In addition to our Vulnerability Notifications (VNs) regarding products and services related to Information Technology, we bring, with the Monthly OT-ICS Vulnerability Notification, information about vulnerabilities directed to OT (Operational Technology) and ICS (Industrial Control Systems) environments.
Critical infrastructure sectors, which impact fundamental society services, rely on OT environments increasingly connected to IT networks. In recent years, we have observed a growing increase in attacks exploiting these technologies or taking advantage of the intersection between physical components and software to directly undermine the proper functioning of essential services, putting lives and economies at risk.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need for updating the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
Schneider Electric EcoStruxure IT Data Center Expert
Network Thermostat X-Series WiFi Thermostats
Packet Power EMX and EG Monitoring
ARC Solo (Burk Technology)
Delta Electronics DIAView
Tigo Energy Cloud Connect Advanced
Rockwell Automation ControlLogix Ethernet Modules
Rockwell Automation Micro800
Honeywell Experion PKS
Rockwell Automation Lifecycle Services with VMware
Siemens SIMATIC RTLS Locating Manager
THINK AHEAD, ACT NOW.
Schneider Electric EcoStruxure IT Data Center Expert
Description
A critical OS command injection flaw exists in the data center monitoring system. The vulnerability allows improper neutralization of special elements used in operating system commands, enabling unauthenticated remote code execution when a malicious folder is created through the HTTP web interface when enabled. Although HTTP is disabled by default, when activated, attackers can exploit this flaw remotely with low attack complexity, requiring no authentication or user interaction, completely compromising the confidentiality, integrity, and availability of the critical data center infrastructure management system.
Affected Systems
- EcoStruxure IT Data Center Expert: Versions 8.3 and earlier
Workarounds
For users who choose not to apply the available fix, they should immediately implement the following mitigations: apply cybersecurity practices documented in the EcoStruxure IT Data Center Expert Security Handbook and strengthen the DCE instance following recommended security best practices.
Solution
Schneider Electric has made available version 9.0 of EcoStruxure IT Data Center Expert which includes fixes for all identified vulnerabilities. The update is available upon request to the Schneider Electric Customer Care Center. It is recommended to apply the update using robust methodologies, including testing in development environments.
Primary and Secondary Sources
Network Thermostat X-Series WiFi Thermostats
Description
The embedded web server in these HVAC controllers exposes a critical function without authentication, allowing a remote agent on the same local network or via the Internet through port forwarding to directly access the interface and reset credentials by manipulating specific web interface elements. Successful exploitation can grant complete administrative access to the device and enable unauthorized changes to building automation system operational parameters. Detailed information has not been disclosed by the manufacturer.
Affected Systems
- X-Series WiFi thermostats v4.5 up to, but not including, v4.6
- X-Series WiFi thermostats v9.6 up to, but not including, v9.46
- X-Series WiFi thermostats v10.1 up to, but not including, v10.29
- X-Series WiFi thermostats v11.1 up to, but not including, v11.5
Workarounds
While the update is not applied, it is recommended to eliminate direct Internet exposure, segment the network and position these devices behind firewalls, and enable remote access only via updated VPN and strictly as necessary.
Solution
Update to the minimum versions recommended by the manufacturer (v4.6, v9.46, v10.29, or v11.5, depending on the installed branch). Reachable units received automatic updates; if the device is behind firewalls, Network Thermostat support should be contacted to coordinate the update.
Primary and Secondary Sources
Packet Power EMX and EG Monitoring and Control
Description
The web interface for monitoring and control of these devices does not enforce any authentication mechanism by default, allowing unauthorized users to access and manipulate critical functions without requiring credentials. Exploitation is trivial: any agent with network connectivity to the device can view sensitive data and reconfigure operational parameters without limits.
Affected Systems
- Packet Power EMX with firmware prior to version 4.1.0
- Packet Power EG with firmware prior to version 4.1.0
Workarounds
While the update is not available or applied, it is recommended to isolate devices in segregated networks, block direct access to the web interface via firewalls, and allow remote access only through secure VPN. Monitoring network traffic and unauthorized access attempts can help detect exploitation.
Solution
The manufacturer fixed the flaw in firmware version 4.1.0 for both EMX and EG. The update should be applied as quickly as possible.
Primary and Secondary Sources
ARC Solo (Burk Technology)
Description
The password change mechanism in ARC Solo allows a request to be sent directly to the device's HTTP endpoint without valid authentication, enabling an attacker to change the password and take control of the device. The system does not enforce authentication or session validation, resulting in total compromise risk.
Affected Systems
- ARC Solo prior to version v1.0.62
Workarounds
Until the update is applied, it is recommended to isolate ARC Solo devices from the Internet, segment the network, and allow remote access only via updated secure VPN.
Solution
Update to version v1.0.62 or higher of the ARC Solo firmware. The fix has been made available by the manufacturer and can be obtained from their official website.
Primary and Secondary Sources
Delta Electronics DIAView
Description
Delta Electronics DIAView presents a path traversal vulnerability that allows remote reading and writing of files on the system. An attacker can manipulate URL parameters to access restricted directories, compromising the confidentiality, integrity, and availability of data.
Affected Systems
- Delta Electronics DIAView, versions v4.2.0 and earlier
Workarounds
While the update is not available or applied, it is recommended to isolate DIAView devices from the Internet, block direct access via firewalls, segment the network, and allow remote access only through updated secure VPN. Delta Electronics also recommends that users do not click on suspicious links available on the internet, nor open unsolicited files sent by email.
Solution
Update to version 4.3.0 or a more recent firmware version of Delta Electronics DIAView, which fixes the vulnerability. The update can be obtained from the manufacturer's official website.
Primary and Secondary Sources
Tigo Energy Cloud Connect Advanced
Description
The Tigo Energy Cloud Connect Advanced device contains hard-coded credentials that allow unauthorized users to gain administrative access. This vulnerability enables attackers to escalate privileges and assume complete control of the device, being able to modify system configurations, interrupt solar energy production, and interfere with security mechanisms.
Affected Systems
- Tigo Energy Cloud Connect Advanced, versions up to 4.0.1
Workarounds
While the update is not available, it is recommended to isolate devices from the Internet, block direct access via firewalls, segment the network, and allow remote access only through updated secure VPN.
Solution
According to CISA, the manufacturer is still working on a fix for the issue.
Primary and Secondary Sources
Rockwell Automation ControlLogix Ethernet Modules
Description
A security flaw exists due to the web-based debugger (WDB) agent being enabled by default on production devices. When attackers connect to the vulnerable WDB agent using a specific IP address, they can perform memory dumps, modify memory content, and control the device's execution flow. This vulnerability allows unauthorized access with low complexity, requiring no authentication or user interaction, enabling complete compromise of the confidentiality, integrity, and availability of affected systems.
Affected Systems
- 1756-EN2T/D: Version 11.004 and earlier
- 1756-EN2F/C: Version 11.004 and earlier
- 1756-EN2TR/C: Version 11.004 and earlier
- 1756-EN3TR/B: Version 11.004 and earlier
- 1756-EN2TP/A: Version 11.004 and earlier
Workarounds
The manufacturer has not disclosed workarounds for this vulnerability.
Solution
Rockwell Automation recommends updating to firmware version 12.001 or later. If it is not possible to apply the fix immediately, security practices recommended by the manufacturer should be implemented, including minimizing network exposure and isolating control systems.
Primary and Secondary Sources
Rockwell Automation Micro800
Description
Multiple critical vulnerabilities affect the Micro800 programmable logic controller line. Three flaws originate from vulnerable Azure RTOS components: an out-of-bounds write in the NetX Duo TCP/IP stack related to IGMP protocol that can lead to remote code execution; memory overflow vulnerabilities in various NetX Duo processes (ICMP, TCP, SNMP, DHCP, NAT, and FTP) allowing remote code execution; and a flaw in the ThreadX operating system parameter verification mechanism that enables arbitrary read and write, resulting in privilege escalation. A fourth vulnerability stems from improper handling of malformed CIP Forward Close packets, causing controller crash with solid red fault LED and unresponsive state.
Affected Systems
- PLC Micro820 LC20: All versions prior to V14.011
- PLC Micro850 LC50: All versions prior to V12.013
- PLC Micro870 LC70: All versions prior to V12.013
- PLC Micro850 L50E: Versions V20.011 through V22.011
- PLC Micro870 L70E: Versions V20.011 through V22.011
Workarounds
The manufacturer has not disclosed workarounds for these vulnerabilities.
Solution
Rockwell Automation recommends migration to corrected versions. For LC20, LC50, and LC70 models, migration should be made to the respective L20E, L50E, and L70E models with firmware V23.011 or later. For L50E and L70E models already in use, update to V23.011 or later should be performed. Firmware V23.011 for the L20E model is scheduled for release in September 2025.
Primary and Secondary Sources
Honeywell Experion PKS
Description
A critical integer underflow flaw exists in the Control Data Access (CDA) component of the Experion PKS system. Attackers can exploit this vulnerability remotely to manipulate communication channels, causing a fault during subtraction operations that can lead to remote code execution. The vulnerability allows unauthorized access with low attack complexity, requiring no authentication or user interaction, compromising the confidentiality, integrity, and availability of the industrial process control system.
Affected Systems
- Experion PKS: All versions prior to R520.2 TCU9 Hot Fix 1
- Experion PKS: All versions prior to R530 TCU3 Hot Fix 1
Workarounds
The manufacturer has not disclosed workarounds for this vulnerability.
Solution
Honeywell recommends immediate update to the corrected versions Experion PKS R520.2 TCU9 Hot Fix 1 or R530 TCU3 Hot Fix 1. Detailed information about the fix is available in Honeywell's official Security Notice.
Primary and Secondary Sources
Rockwell Automation Lifecycle Services with VMware
Description
Multiple critical security flaws affect VMware components used in Rockwell Automation services. The first vulnerability consists of an integer overflow in the VMXNET3 virtual network adapter, allowing code execution on the host. The second flaw is an integer underflow in the Virtual Machine Communication Interface (VMCI) that results in out-of-bounds write. The third vulnerability is a heap overflow in the Paravirtualized SCSI (PVSCSI) controller that also leads to out-of-bounds write. All these flaws allow attackers with administrative access to virtual machines to execute arbitrary code on the host system, completely compromising the security of the virtualized environment.
Affected Systems
- Industrial Data Center (IDC) with VMware: Generations 1-4
- VersaVirtual Appliance (VVA) with VMware: Series A and B
- Threat Detection Managed Services (TDMS) with VMware: All versions
- Endpoint Protection Service with Rockwell Automation Proxy & VMware: All versions
- Engineered and Integrated Solutions with VMware: All versions
Workarounds
For users with active Infrastructure Managed Service or Threat Detection Managed Service contracts, Rockwell Automation will contact them to discuss necessary actions. Users without managed service contracts should consult Broadcom advisories to obtain specific VMware ESXi patches, including updates 8.0 U3f, 8.0 U2e, and 7.0 U3w.
Solution
The fix involves applying security updates provided by Broadcom for affected VMware products. For users who cannot update immediately, security practices recommended by Rockwell Automation should be implemented.
Primary and Secondary Sources
Siemens SIMATIC RTLS Locating Manager
Description
A critical improper input validation flaw exists in a backup script of the SIMATIC RTLS Locating Manager system. Remotely authenticated attackers with high privileges in the application can exploit this vulnerability to execute arbitrary code with NT Authority/SYSTEM privileges. Successful exploitation allows complete control of the affected host, enabling configuration manipulation, operational disruption, data theft, or lateral movement in the network. The vulnerability can be exploited remotely with low attack complexity, requiring no user interaction.
Affected Systems
- SIMATIC RTLS Locating Manager: All versions prior to V3.2
Workarounds
The manufacturer has not disclosed workarounds for this vulnerability.
Solution
Siemens recommends immediate update to version V3.2 or later. As a general security measure, it is recommended to protect network access to devices with appropriate mechanisms and configure the environment according to Siemens operational guidelines for industrial security.
Primary and Secondary Sources
Contexto
Además de nuestras Notificaciones de Vulnerabilidades (NDVs) referentes a productos y servicios relacionados con Tecnología de la Información, traemos, con la Notificación de Vulnerabilidad Mensual OT-ICS, información sobre vulnerabilidades dirigidas a ambientes de OT (Tecnología Operacional) e ICS (Sistemas de Control Industrial).
Sectores de infraestructura crítica, que impactan servicios fundamentales de la sociedad, cuentan con ambientes de OT cada vez más conectados a redes de TI. En los últimos años, hemos observado un aumento creciente en ataques explotando estas tecnologías o aprovechándose de la intersección entre componentes físicos y software para socavar directamente el buen funcionamiento de servicios esenciales, poniendo vidas y economías en riesgo.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado, lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
Schneider Electric EcoStruxure IT Data Center Expert
Network Thermostat X-Series WiFi Thermostats
Packet Power EMX and EG Monitoring
ARC Solo (Burk Technology)
Delta Electronics DIAView
Tigo Energy Cloud Connect Advanced
Rockwell Automation ControlLogix Ethernet Modules
Rockwell Automation Micro800
Honeywell Experion PKS
Rockwell Automation Lifecycle Services with VMware
Siemens SIMATIC RTLS Locating Manager
THINK AHEAD, ACT NOW.
Schneider Electric EcoStruxure IT Data Center Expert
Descripción
Una falla crítica de inyección de comandos del sistema operativo existe en el sistema de monitoreo de data center. La vulnerabilidad permite neutralización inadecuada de elementos especiales usados en comandos del sistema operativo, posibilitando ejecución remota de código no autenticada cuando una carpeta maliciosa es creada a través de la interfaz web HTTP cuando está habilitada. Aunque el HTTP esté deshabilitado por defecto, cuando activado, atacantes pueden explotar esta falla remotamente con baja complejidad de ataque, sin necesidad de autenticación o interacción del usuario, comprometiendo completamente la confidencialidad, integridad y disponibilidad del sistema de gestión de infraestructura crítica de data center.
Sistemas afectados
- EcoStruxure IT Data Center Expert: Versiones 8.3 y anteriores
Remediaciones de contorno
Para usuarios que opten por no aplicar la corrección disponible, deben implementar inmediatamente las siguientes mitigaciones: aplicar prácticas de seguridad cibernética documentadas en el Security Handbook del EcoStruxure IT Data Center Expert y fortalecer la instancia DCE siguiendo las mejores prácticas de seguridad recomendadas.
Solución
Schneider Electric ha puesto disponible la versión 9.0 del EcoStruxure IT Data Center Expert que incluye correcciones para todas las vulnerabilidades identificadas. La actualización está disponible mediante solicitud al Centro de Atención al Cliente de Schneider Electric. Se recomienda aplicar la actualización utilizando metodologías robustas, incluyendo pruebas en ambientes de desarrollo.
Fuentes primarias y secundarias
Network Thermostat X-Series WiFi Thermostats
Descripción
El servidor web embebido en estos controladores de climatización expone una función crítica sin autenticación, permitiendo que un agente remoto, en la misma red local o vía Internet por medio de port forwarding, acceda directamente a la interfaz y redefina credenciales al manipular elementos específicos de la interfaz web. La explotación exitosa puede conceder acceso administrativo completo al dispositivo y posibilitar alteraciones no autorizadas de parámetros operacionales del sistema de automatización predial. Información detallada no ha sido divulgada por el fabricante.
Sistemas afectados
- X-Series WiFi thermostats v4.5 hasta, pero no incluyendo, v4.6
- X-Series WiFi thermostats v9.6 hasta, pero no incluyendo, v9.46
- X-Series WiFi thermostats v10.1 hasta, pero no incluyendo, v10.29
- X-Series WiFi thermostats v11.1 hasta, pero no incluyendo, v11.5
Remediaciones de contorno
Mientras la actualización no sea aplicada, se recomienda eliminar exposición directa a Internet, segmentar la red y posicionar estos equipos detrás de firewalls, además de habilitar acceso remoto solamente por VPN actualizada y estrictamente necesaria.
Solución
Actualizar a las versiones mínimas recomendadas por el fabricante (v4.6, v9.46, v10.29 o v11.5, conforme la branch instalada). Unidades alcanzables recibieron update automático; si el equipo está detrás de firewalls, el soporte de Network Thermostat debe ser accionado para coordinar la actualización.
Fuentes primarias y secundarias
Packet Power EMX and EG Monitoring and Control
Descripción
La interfaz web de monitoreo y control de estos dispositivos no impone ningún mecanismo de autenticación por defecto, permitiendo que usuarios no autorizados accedan y manipulen funciones críticas sin necesidad de credenciales. La explotación es trivial: cualquier agente con conectividad de red al dispositivo puede visualizar datos sensibles y reconfigurar parámetros operacionales sin límites.
Sistemas afectados
- Packet Power EMX con firmware anteriores a la versión 4.1.0
- Packet Power EG con firmware anteriores a la versión 4.1.0
Remediaciones de contorno
Mientras la actualización no esté disponible o aplicada, se recomienda aislar los dispositivos en redes segregadas, bloquear el acceso directo a la interfaz web vía firewalls y permitir acceso remoto solamente por VPN segura. Monitorear tráfico de red y tentativas de acceso no autorizado puede ayudar a detectar explotación.
Solución
El fabricante corrigió la falla en la versión 4.1.0 del firmware para ambos EMX y EG. La actualización debe ser aplicada lo más rápido posible.
Fuentes primarias y secundarias
ARC Solo (Burk Technology)
Descripción
El mecanismo de alteración de contraseña del ARC Solo permite que una solicitud sea enviada directamente al endpoint HTTP del dispositivo sin autenticación válida, posibilitando que un atacante altere la contraseña y asuma el control del dispositivo. El sistema no aplica autenticación ni validación de sesión, resultando en riesgo total de comprometimiento.
Sistemas afectados
- ARC Solo anterior a la versión v1.0.62
Remediaciones de contorno
Hasta que la actualización sea aplicada, se recomienda aislar los dispositivos ARC Solo de Internet, segmentando la red y permitiendo acceso remoto solamente vía VPN segura actualizada.
Solución
Actualizar a la versión v1.0.62 o superior del firmware del ARC Solo. La corrección fue puesta disponible por el fabricante y puede ser obtenida en su sitio oficial.
Fuentes primarias y secundarias
Delta Electronics DIAView
Descripción
El Delta Electronics DIAView presenta una vulnerabilidad de path traversal que permite la lectura y escritura remota de archivos en el sistema. Un atacante puede manipular parámetros de URL para acceder directorios restringidos, comprometiendo la confidencialidad, integridad y disponibilidad de los datos.
Sistemas afectados
- Delta Electronics DIAView, versiones v4.2.0 y anteriores
Remediaciones de contorno
Mientras la actualización no esté disponible o aplicada, se recomienda aislar los dispositivos DIAView de Internet, bloquear el acceso directo vía firewalls, segmentar la red y permitir acceso remoto solamente por VPN segura actualizada. Delta Electronics también recomienda que usuarios no hagan clic en links sospechosos disponibles en internet, ni abran archivos no solicitados enviados por correo electrónico.
Solución
Actualizar a la versión 4.3.0 u otra más reciente del firmware del Delta Electronics DIAView, que corrige la vulnerabilidad. La actualización puede ser obtenida en el sitio oficial del fabricante.
Fuentes primarias y secundarias
Tigo Energy Cloud Connect Advanced
Descripción
El dispositivo Tigo Energy Cloud Connect Advanced contiene credenciales codificadas que permiten a usuarios no autorizados obtener acceso administrativo. Esta vulnerabilidad posibilita que atacantes escalen privilegios y asuman control total del dispositivo, pudiendo modificar configuraciones del sistema, interrumpir la producción de energía solar e interferir en los mecanismos de seguridad.
Sistemas afectados
- Tigo Energy Cloud Connect Advanced, versiones hasta 4.0.1
Remediaciones de contorno
Mientras la actualización no esté disponible, se recomienda aislar los dispositivos de Internet, bloquear el acceso directo vía firewalls, segmentar la red y permitir acceso remoto solamente por VPN segura actualizada.
Solución
De acuerdo con CISA, la fabricante aún trabaja en una corrección para el problema.
Fuentes primarias y secundarias
Rockwell Automation ControlLogix Ethernet Modules
Descripción
Una falla de seguridad existe debido al agente web-based debugger (WDB) estar habilitado por defecto en dispositivos de producción. Cuando atacantes se conectan al agente WDB vulnerable utilizando una dirección IP específica, pueden realizar dumps de memoria, modificar contenido de la memoria y controlar el flujo de ejecución del dispositivo. Esta vulnerabilidad permite acceso no autorizado de baja complejidad, sin necesidad de autenticación o interacción del usuario, posibilitando comprometimiento total de la confidencialidad, integridad y disponibilidad de los sistemas afectados.
Sistemas afectados
- 1756-EN2T/D: Versión 11.004 y anteriores
- 1756-EN2F/C: Versión 11.004 y anteriores
- 1756-EN2TR/C: Versión 11.004 y anteriores
- 1756-EN3TR/B: Versión 11.004 y anteriores
- 1756-EN2TP/A: Versión 11.004 y anteriores
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Rockwell Automation recomienda la actualización a la versión de firmware 12.001 o posterior. Caso no sea posible aplicar la corrección inmediatamente, deben ser implementadas prácticas de seguridad recomendadas por el fabricante, incluyendo minimización de la exposición de red y aislamiento de los sistemas de control.
Fuentes primarias y secundarias
Rockwell Automation Micro800
Descripción
Múltiples vulnerabilidades críticas afectan la línea de controladores lógicos programables Micro800. Tres fallas se originan de componentes vulnerables del Azure RTOS: una escritura fuera de los límites en el stack TCP/IP NetX Duo relacionada al protocolo IGMP que puede llevar a la ejecución remota de código; vulnerabilidades de overflow de memoria en diversos procesos del NetX Duo (ICMP, TCP, SNMP, DHCP, NAT y FTP) permitiendo ejecución remota de código; y una falla en el mecanismo de verificación de parámetros del sistema operativo ThreadX que posibilita lectura y escritura arbitrarias, resultando en escalación de privilegios. Una cuarta vulnerabilidad deriva del manejo inadecuado de paquetes CIP Forward Close malformados, causando bloqueo del controlador con LED de falla rojo sólido y estado no responsivo.
Sistemas afectados
- PLC Micro820 LC20: Todas las versiones anteriores a V14.011
- PLC Micro850 LC50: Todas las versiones anteriores a V12.013
- PLC Micro870 LC70: Todas las versiones anteriores a V12.013
- PLC Micro850 L50E: Versiones V20.011 hasta V22.011
- PLC Micro870 L70E: Versiones V20.011 hasta V22.011
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para estas vulnerabilidades.
Solución
Rockwell Automation recomienda migración a versiones corregidas. Para modelos LC20, LC50 y LC70, la migración debe ser hecha a los respectivos modelos L20E, L50E y L70E con firmware V23.011 o posterior. Para modelos L50E y L70E ya en uso, se debe actualizar a V23.011 o posterior. El firmware V23.011 para el modelo L20E tiene lanzamiento previsto para septiembre de 2025.
Fuentes primarias y secundarias
Honeywell Experion PKS
Descripción
Una falla crítica de integer underflow existe en el componente Control Data Access (CDA) del sistema Experion PKS. Atacantes pueden explotar esta vulnerabilidad remotamente para manipular canales de comunicación, causando una falla durante operaciones de sustracción que puede llevar a la ejecución remota de código. La vulnerabilidad permite acceso no autorizado con baja complejidad de ataque, sin necesidad de autenticación o interacción del usuario, comprometiendo la confidencialidad, integridad y disponibilidad del sistema de control de procesos industriales.
Sistemas afectados
- Experion PKS: Todas las versiones anteriores a R520.2 TCU9 Hot Fix 1
- Experion PKS: Todas las versiones anteriores a R530 TCU3 Hot Fix 1
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Honeywell recomienda la actualización inmediata a las versiones corregidas Experion PKS R520.2 TCU9 Hot Fix 1 o R530 TCU3 Hot Fix 1. Información detallada sobre la corrección está disponible en el Security Notice oficial de Honeywell.
Fuentes primarias y secundarias
Rockwell Automation Lifecycle Services with VMware
Descripción
Múltiples fallas críticas de seguridad afectan componentes VMware utilizados en los servicios Rockwell Automation. La primera vulnerabilidad consiste en un integer overflow en el adaptador de red virtual VMXNET3, permitiendo ejecución de código en el host. La segunda falla es un integer underflow en la interfaz Virtual Machine Communication Interface (VMCI) que resulta en escritura fuera de los límites. La tercera vulnerabilidad es un heap overflow en el controlador Paravirtualized SCSI (PVSCSI) que también lleva a la escritura fuera de los límites. Todas estas fallas permiten que atacantes con acceso administrativo a máquinas virtuales ejecuten código arbitrario en el sistema host, comprometiendo completamente la seguridad del ambiente virtualizado.
Sistemas afectados
- Industrial Data Center (IDC) with VMware: Generaciones 1-4
- VersaVirtual Appliance (VVA) with VMware: Series A y B
- Threat Detection Managed Services (TDMS) with VMware: Todas las versiones
- Endpoint Protection Service with Rockwell Automation Proxy & VMware: Todas las versiones
- Engineered and Integrated Solutions with VMware: Todas las versiones
Remediaciones de contorno
Para usuarios con contratos activos de Infrastructure Managed Service o Threat Detection Managed Service, Rockwell Automation entrará en contacto para discutir acciones necesarias. Usuarios sin contratos de servicios gestionados deben consultar los advisories de Broadcom para obtener patches específicos del VMware ESXi, incluyendo las actualizaciones 8.0 U3f, 8.0 U2e y 7.0 U3w.
Solución
La corrección involucra la aplicación de las actualizaciones de seguridad proporcionadas por Broadcom para los productos VMware afectados. Para usuarios que no pueden actualizar inmediatamente, deben ser implementadas prácticas de seguridad recomendadas por Rockwell Automation.
Fuentes primarias y secundarias
Siemens SIMATIC RTLS Locating Manager
Descripción
Una falla crítica de validación de entrada inadecuada existe en un script de backup del sistema SIMATIC RTLS Locating Manager. Atacantes autenticados remotamente con altos privilegios en la aplicación pueden explotar esta vulnerabilidad para ejecutar código arbitrario con privilegios NT Authority/SYSTEM. La explotación exitosa permite control total del host afectado, posibilitando manipulación de configuraciones, interrupción operacional, robo de datos o movimiento lateral en la red. La vulnerabilidad puede ser explotada remotamente con baja complejidad de ataque, sin necesidad de interacción del usuario.
Sistemas afectados
- SIMATIC RTLS Locating Manager: Todas las versiones anteriores a V3.2
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Siemens recomienda la actualización inmediata a la versión V3.2 o posterior. Como medida general de seguridad, se recomienda proteger el acceso de red a los dispositivos con mecanismos apropiados y configurar el ambiente de acuerdo con las directrices operacionales de seguridad industrial de Siemens.
Fuentes primarias y secundarias
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Center
Access our content center and check out the latest reports and news about cybersecurity.
Access Content CenterCentral de Contenidos SEK
Accede a nuestro centro de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder al Centro de Contenidos