Contexto
Esta é a Notificação de Vulnerabilidades (NDV) referente ao mês de dezembro de 2025. Neste documento, produzido pelo time de Inteligência de Ameaças Cibernéticas da SEK, estão listadas as principais vulnerabilidades catalogadas no último mês.
Em nossa análise, priorizamos as vulnerabilidades críticas e altas presentes nos produtos e tecnologias mais relevantes e utilizados na indústria. Cabe pontuar que este é um documento direcionado à comunidade de cibersegurança como um todo. Para um trabalho mais específico, recomendamos a contratação de nosso serviço de gestão de vulnerabilidades, cujo foco está na detecção e mitigação de vulnerabilidades encontradas em todo o parque de nossos clientes de forma personalizada.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
Industrial Video & Control Longwatch
Schneider Electric EcoStruxure Foxboro DCS Advisor
Iskra iHUB e iHUB Lite
Siemens Advanced Licensing (SALT) Toolkit
Siemens IAM Client
Hitachi Energy AFS, AFR e AFF Series
Johnson Controls iSTAR
OpenPLC ScadaBR
Advantech iView
Universal Boot Loader (U-Boot)
THINK AHEAD, ACT NOW.
Industrial Video & Control Longwatch
Descrição
O sistema de vigilância e monitoramento por vídeo apresenta uma falha crítica de injeção de código que permite execução remota não autenticada de comandos arbitrários. A vulnerabilidade decorre da ausência de controles de assinatura e execução de código em um endpoint HTTP exposto, possibilitando que atacantes enviem requisições HTTP GET especialmente criadas para executar códigos sem necessidade de credenciais. A exploração bem-sucedida concede privilégios de nível SYSTEM ao invasor, resultando em comprometimento total do dispositivo.
Sistemas afetados
- Longwatch: versões 6.309 a 6.334
Remediações de contorno
Minimizar a exposição de rede de todos os dispositivos de sistemas de controle, garantindo que não sejam acessíveis pela internet. Posicionar redes de sistemas de controle e dispositivos remotos atrás de firewalls, isolando-os das redes corporativas. Quando acesso remoto for necessário, utilizar métodos seguros como VPNs, reconhecendo que VPNs podem apresentar vulnerabilidades e devem ser mantidas atualizadas.
Solução
A Industrial Video & Control disponibilizou a versão corrigida 6.335 do Longwatch. Usuários devem atualizar imediatamente para esta versão ou posterior.
Fontes primárias e secundárias
Schneider Electric EcoStruxure Foxboro DCS Advisor
Descrição
Uma vulnerabilidade divulgada pela Microsoft no Windows Server Update Services afeta servidores do EcoStruxure Foxboro DCS Advisor da Schneider Electric. O componente opcional do sistema EcoStruxure Foxboro DCS é atingido pela vulnerabilidade no serviços do WSUS, a qual permite que atacantes remotos não autenticados enviem requisições especialmente criadas e executem códigos arbitrários no sistema atingido sem autorização. A exploração ativa em ambientes reais foi confirmada por múltiplas empresas de segurança cibernética.
Sistemas afetados
- EcoStruxure Foxboro DCS Advisor: serviços com Windows Server Update Services executando em MS Server 2016 com atualização KB5066836
- EcoStruxure Foxboro DCS Advisor: serviços com Windows Server Update Services executando em MS Server 2022 com atualização KB5066782
Remediações de contorno
A Schneider Electric recomenda localizar as redes de sistemas de controle e segurança e os dispositivos remotos atrás de firewalls e isolá-los da rede da empresa. Também é recomendável verificar todos os métodos de troca de dados móveis com a rede isolada, como CDs, unidades USB, etc., antes de usá-los nos terminais. Empresas devem minimizar a exposição da rede para todos os dispositivos e sistemas de controle e checarem que eles não sejam acessíveis pela Internet. Quando o acesso remoto for necessário, utilizar métodos seguros, como Redes Virtuais Privadas (VPNs).
Solução
A Microsoft disponibilizou patches emergenciais para Windows Server 2016 e KB5070884 para Windows Server 2019 que corrigem completamente a vulnerabilidade CVE-2025-59287. A Schneider Electric recomenda que os usuários apliquem imediatamente as correções correspondentes disponíveis diretamente através do WSUS. A instalação do patch pode requerer reinicialização do servidor para conclusão completa da atualização. Clientes devem contatar o Suporte Global da Schneider Electric para verificar se a atualização foi aplicada com sucesso, segundo a fabricante.
Fontes primárias e secundárias
Iskra iHUB e iHUB Lite
Descrição
Os gateways de mediação inteligente expõem a interface de gerenciamento web sem exigir autenticação, permitindo que usuários não autenticados acessem e modifiquem configurações críticas do dispositivo. A falha decorre da ausência de mecanismos de autenticação na interface administrativa, possibilitando que atacantes remotos reconfigurem dispositivos, atualizem firmware e manipulem sistemas conectados sem fornecer qualquer credencial. A vulnerabilidade pode ser explorada sem necessidade de interação do usuário ou técnicas sofisticadas.
Sistemas afetados
- Iskra iHUB: todas as versões
- Iskra iHUB Lite: todas as versões
Remediações de contorno
Minimizar a exposição de rede de todos os dispositivos de sistemas de controle, garantindo que não sejam acessíveis pela internet. Posicionar redes de sistemas de controle e dispositivos remotos atrás de firewalls, isolando-os das redes corporativas. Quando acesso remoto for necessário, utilizar métodos seguros como VPNs, reconhecendo que VPNs devem ser mantidas atualizadas. Implementar segmentação de rede rigorosa para limitar movimento lateral de atacantes. Configurar firewalls para restringir acesso aos dispositivos apenas de redes e hosts confiáveis, bloqueando conexões de origens não autorizadas.
Solução
A Iskra não respondeu às solicitações de coordenação da CISA, segundo a agência. Não há patch oficial disponível no momento. Organizações devem contatar a Iskra diretamente através da página de contato do fabricante para obter informações sobre disponibilidade de correções ou orientações específicas. Até que uma correção seja disponibilizada, é essencial aplicar imediatamente as remediações de contorno recomendadas pela CISA para minimizar o risco de exploração.
Fontes primárias e secundárias
Siemens Advanced Licensing (SALT) Toolkit
Descrição
O SDK do Siemens Advanced Licensing Toolkit não valida o certificado de servidor ao estabelecer conexões TLS com o servidor de autorização. A falha permite que atacantes remotos não autenticados realizem ataques man-in-the-middle, interceptando comunicações de licenciamento entre aplicações cliente e servidores de autorização. A vulnerabilidade decorre da implementação inadequada de verificação criptográfica durante o handshake TLS, possibilitando que adversários posicionados na rede apresentem certificados falsificados sem detecção.
Sistemas afetados
- COMOS V10.6: todas as versões
- JT Bi-Directional Translator for STEP: todas as versões
- NX V2412: todas as versões anteriores à V2412.8900
- NX V2506: todas as versões anteriores à V2506.6000
- Simcenter 3D: todas as versões anteriores à V2506.6000
- Simcenter Femap: todas as versões anteriores à V2506.0002
- Simcenter Studio: todas as versões
- Simcenter System Architect: todas as versões
- Tecnomatix Plant Simulation: todas as versões anteriores à V2504.0007
Remediações de contorno
Proteger o acesso de rede aos dispositivos com mecanismos apropriados e configurar o ambiente de acordo com as diretrizes operacionais da Siemens para segurança industrial.
Solução
A Siemens disponibilizou versões corrigidas para NX V2412.8900 ou posterior, NX V2506.6000 ou posterior, Simcenter 3D V2506.6000 ou posterior, Simcenter Femap V2506.0002 ou posterior e Tecnomatix Plant Simulation V2504.0007 ou posterior. Para JT Bi-Directional Translator for STEP, COMOS V10.6, Simcenter Studio e Simcenter System Architect, atualmente não há correção disponível, devendo-se aplicar as remediações de contorno.
Fontes primárias e secundárias
Siemens IAM Client
Descrição
O IAM cliente integrado em diversos produtos apresenta ausência de validação de certificado de servidor ao estabelecer conexões TLS com o servidor de autorização. A falha permite que atacantes remotos não autenticados executem ataques man-in-the-middle, interceptando e manipulando tráfego de licenciamento e autorização entre aplicações cliente e servidores de autenticação da Siemens. A exploração não requer privilégios, interação do usuário ou técnicas sofisticadas.
Sistemas afetados
- COMOS V10.6: todas as versões
- NX V2412: todas as versões anteriores à V2412.8700
- NX V2506: todas as versões anteriores à V2506.6000
- Simcenter 3D: todas as versões anteriores à V2506.6000
- Simcenter Femap: todas as versões anteriores à V2506.0002
- Solid Edge SE2025: todas as versões anteriores à V225.0 Update 10
- Solid Edge SE2026: todas as versões anteriores à V226.0 Update 1
Remediações de contorno
Proteger o acesso de rede aos dispositivos com mecanismos apropriados e configurar o ambiente de acordo com as diretrizes operacionais da Siemens para segurança industrial.
Solução
A Siemens disponibilizou versões corrigidas para NX V2412.8700 ou posterior, NX V2506.6000 ou posterior, Simcenter 3D V2506.6000 ou posterior, Simcenter Femap V2506.0002 ou posterior, Solid Edge SE2025 V225.0 Update 10 ou posterior e Solid Edge SE2026 V226.0 Update 1 ou posterior. Para COMOS V10.6, atualmente não há correção disponível, devendo-se aplicar as remediações de contorno recomendadas.
Fontes primárias e secundárias
Hitachi Energy AFS, AFR e AFF Series
Descrição
Diversos produtos da Hitachi Energy são afetados por uma vulnerabilidade no RADIUS. Nesse sentido, o protocolo RADIUS RFC 2865 é suscetível a ataques de falsificação por atacantes locais que podem modificar qualquer resposta válida através de ataque contra a assinatura MD5 do Response Authenticator.
Sistemas afetados
- AFS 660-B/C/S: todas as versões
- AFS 665-B/S: todas as versões
- AFS 670 v2.0: todas as versões
- AFS 650: todas as versões
- AFS 655: todas as versões
- AFS 670: todas as versões
- AFS 675: todas as versões
- AFS 677: todas as versões
- AFR 677: todas as versões
- AFF 660: todas as versões
- AFF 665: todas as versões
Remediações de contorno
Habilitar imediatamente a configuração RADIUS por padrão nos dispositivos afetados, o que ativa a opção RADIUS Server Message Authenticator.
Solução
A Hitachi Energy recomenda configurar os dispositivos para o padrão que habilita a opção RADIUS server message authenticator. Consultar o advisory da Hitachi Energy para comandos específicos e orientações detalhadas de configuração.
Fontes primárias e secundárias
Johnson Controls iSTAR
Descrição
Os produtos da Johnson Controles apresentam múltiplas vulnerabilidades de injeção de comandos do sistema operacional que permitem controle dos dispositivos sob determinadas circunstâncias. As falhas decorrem da neutralização inadequada de elementos especiais utilizados em comandos do sistema, possibilitando que invasores remotos com privilégios limitados executem comandos arbitrários através da rede.
Sistemas afetados
- iSTAR Ultra: versões anteriores à 6.9.7.CU01
- iSTAR Ultra SE: versões anteriores à 6.9.7.CU01
- iSTAR Ultra LT: versões anteriores à 6.9.7.CU01
- iSTAR Ultra G2: versões anteriores à 6.9.3
- iSTAR Ultra G2 SE: versões anteriores à 6.9.3
- iSTAR Edge G2: versões anteriores à 6.9.3
Remediações de contorno
Minimizar exposição de rede de todos os dispositivos e sistemas de controle, garantindo que não sejam acessíveis pela Internet. Posicionar redes de sistemas de controle e dispositivos remotos atrás de firewalls com regras restritivas, isolando-os das redes corporativas. Quando acesso remoto for necessário, utilizar métodos mais seguros como redes privadas virtuais, reconhecendo que VPNs podem apresentar vulnerabilidades e devem ser atualizadas para versões mais recentes.
Solução
A Johnson Controls disponibilizou correções de firmware para todos os modelos afetados. Para iSTAR Ultra, Ultra SE e Ultra LT, atualizar para versão 6.9.7.CU01 ou superior. Para iSTAR Ultra G2, Ultra G2 SE e Edge G2, atualizar para versão 6.9.3 ou superior. Os usuários devem aplicar as atualizações imediatamente através dos procedimentos oficiais. Instruções detalhadas de mitigação estão disponíveis nos Product Security Advisories JCI-PSA-2025-14 e JCI-PSA-2025-15.
Fontes primárias e secundárias
OpenPLC ScadaBR
Descrição
O sistema SCADA contém vulnerabilidade de upload irrestrito de arquivo com tipo perigoso que permite a usuários remotos autenticados fazer upload e executar arquivos JSP arbitrários através do endpoint view_edit.shtm. A falha decorre da ausência de restrições adequadas de tipo de arquivo durante o processamento de uploads, possibilitando que invasores autenticados contornem controles de segurança e injetem código malicioso diretamente nos sistemas vulneráveis. A exploração bem-sucedida permite execução remota de código no contexto da aplicação web, fornecendo aos atacantes acesso persistente e capacidade de executar comandos no ambiente industrial. A vulnerabilidade está sendo ativamente explorada por atores de ameaça em ambiente real, incluindo o grupo hacktivista TwoNet, conforme evidências confirmadas que levaram à inclusão no catálogo de Vulnerabilidades Exploradas Conhecidas da CISA.
Sistemas afetados
- OpenPLC ScadaBR no Linux: versões até 0.9.1
- OpenPLC ScadaBR no Windows: versões até 1.12.4
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta falha.
Solução
A CISA adicionou esta vulnerabilidade ao catálogo de Vulnerabilidades Exploradas Conhecidas em 3 de dezembro de 2025, citando evidências de exploração ativa. Organizações devem aplicar mitigações conforme instruções do fabricante até 24 de dezembro de 2025. Segundo investigações, a vulnerabilidade está sendo ativamente explorada por atores de ameaça, incluindo grupo hacktivista TwoNet.
Fontes primárias e secundárias
Advantech iView
Descrição
A plataforma de gerenciamento de vídeo e monitoramento industrial não sanitiza adequadamente requisições SNMP v1 trap através da porta 162, permitindo que atacantes remotos não autenticados injetem comandos SQL arbitrários. A falha decorre da neutralização inadequada de elementos especiais utilizados em comandos SQL durante o processamento de mensagens SNMP, possibilitando que invasores explorem esta funcionalidade sem necessidade de credenciais válidas. A exploração bem-sucedida permite divulgação, modificação e exclusão de informações sensíveis.
Sistemas afetados
- Advantech iView: versões 5.7.05.7057 e anteriores
Remediações de contorno
Minimizar exposição de rede de todos os dispositivos e sistemas de controle, garantindo que não sejam acessíveis pela Internet. Posicionar redes de sistemas de controle e dispositivos remotos atrás de firewalls, isolando-os das redes corporativas. Implementar regras rigorosas de firewall para bloquear acesso não autorizado à porta UDP 162. Quando acesso remoto for necessário, utilizar métodos mais seguros como redes privadas virtuais, reconhecendo que VPNs podem apresentar vulnerabilidades e devem ser atualizadas para versões mais recentes.
Solução
A Advantech recomenda que usuários atualizem para iView versão 5.8.1, disponível através do portal de suporte oficial da Advantech.
Fontes primárias e secundárias
Universal Boot Loader (U-Boot)
Descrição
O U-Boot contém falha de controle de acesso inadequado para memória volátil, permitindo que atacantes com acesso local executem código arbitrário durante o processo de boot. A vulnerabilidade decorre de controles de acesso inadequados sobre regiões de memória volátil onde o código de inicialização é copiado. A exploração bem-sucedida possibilita que adversários com acesso físico ao dispositivo executem código arbitrário no contexto do bootloader, antes que quaisquer controles de segurança do sistema operacional entrem em vigor.
Sistemas afetados
- U-Boot: todas as versões anteriores à 2017.11
- Qualcomm IPQ4019
- Qualcomm IPQ5018
- Qualcomm IPQ5322
- Qualcomm IPQ6018
- Qualcomm IPQ8064
- Qualcomm IPQ8074
- Qualcomm IPQ9574
Remediações de contorno
A Konsulko, empresa terceirizada responsável pela manutenção do U-boot, recomenda que usuários garantam a segurança física do dispositivo, além de atualizarem para as versões corrigidas.
Solução
Konsulko, mantenedora terceirizada do U-Boot, recomenda que usuários atualizem para versão v2025.4 ou posterior. Já a Qualcomm recomenda que usuários com os chips afetados entrem em contato com o suporte.
Fontes primárias e secundárias
Context
This is the Vulnerability Notification (NDV) for December 2025. In this document, produced by SEK's Cyber Threat Intelligence team, the main vulnerabilities cataloged in the last month are listed.
In our analysis, we prioritize critical and high vulnerabilities present in products and technologies most relevant and used in the industry. It should be noted that this is a document aimed at the cybersecurity community as a whole. For more specific work, we recommend hiring our vulnerability management service, whose focus is on the detection and mitigation of vulnerabilities found throughout our clients' infrastructure in a personalized way.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need to update the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
Industrial Video & Control Longwatch
Schneider Electric EcoStruxure Foxboro DCS Advisor
Iskra iHUB and iHUB Lite
Siemens Advanced Licensing (SALT) Toolkit
Siemens IAM Client
Hitachi Energy AFS, AFR and AFF Series
Johnson Controls iSTAR
OpenPLC ScadaBR (Actively Exploited)
Advantech iView
Universal Boot Loader (U-Boot)
THINK AHEAD, ACT NOW.
Industrial Video & Control Longwatch
Description
The video surveillance and monitoring system presents a critical code injection flaw that allows unauthenticated remote execution of arbitrary commands. The vulnerability stems from the absence of signature controls and code execution on an exposed HTTP endpoint, enabling attackers to send specially crafted HTTP GET requests to execute code without requiring credentials. Successful exploitation grants SYSTEM-level privileges to the attacker, resulting in complete device compromise.
Affected systems
- Longwatch versions 6.309 through 6.334
Workarounds
Minimize network exposure of all control system devices, ensuring they are not accessible from the internet. Position control system networks and remote devices behind firewalls, isolating them from corporate networks. When remote access is necessary, use secure methods such as VPNs, recognizing that VPNs may have vulnerabilities and should be kept updated.
Solution
Industrial Video & Control has released the patched version 6.335 of Longwatch. Users should update immediately to this version or later.
Primary and secondary sources
Schneider Electric EcoStruxure Foxboro DCS Advisor
Description
A vulnerability disclosed by Microsoft in Windows Server Update Services affects Schneider Electric's EcoStruxure Foxboro DCS Advisor servers. The optional component of the EcoStruxure Foxboro DCS system is affected by the vulnerability in WSUS services, which allows unauthenticated remote attackers to send specially crafted requests and execute arbitrary code on the affected system without authorization. Active exploitation in real-world environments has been confirmed by multiple cybersecurity companies.
Affected systems
- EcoStruxure Foxboro DCS Advisor with Windows Server Update Services on MS Server 2016 with KB5066836 update
- EcoStruxure Foxboro DCS Advisor with Windows Server Update Services on MS Server 2022 with KB5066782 update
Workarounds
Schneider Electric recommends locating control and security system networks and remote devices behind firewalls and isolating them from the corporate network. It is also recommended to verify all mobile data exchange methods with the isolated network, such as CDs, USB drives, etc., before using them on terminals. Companies should minimize network exposure for all control devices and systems and check that they are not accessible from the Internet. When remote access is necessary, use secure methods such as Virtual Private Networks (VPNs).
Solution
Microsoft has released emergency patches for Windows Server 2016 and KB5070884 for Windows Server 2019 that completely fix vulnerability CVE-2025-59287. Schneider Electric recommends that users immediately apply the corresponding fixes available directly through WSUS. Installation of the patch may require server reboot for complete update completion. Customers should contact Schneider Electric Global Support to verify that the update was successfully applied.
Primary and secondary sources
Iskra iHUB and iHUB Lite
Description
The smart metering gateways expose the web management interface without requiring authentication, allowing unauthenticated users to access and modify critical device configurations. The flaw stems from the absence of authentication mechanisms in the administrative interface, enabling remote attackers to reconfigure devices, update firmware, and manipulate connected systems without providing any credentials. The vulnerability can be exploited without user interaction or sophisticated techniques.
Affected systems
- Iskra iHUB: all versions
- Iskra iHUB Lite: all versions
Workarounds
Minimize network exposure of all control system devices, ensuring they are not accessible from the internet. Position control system networks and remote devices behind firewalls, isolating them from corporate networks. When remote access is necessary, use secure methods such as VPNs, recognizing that VPNs should be kept updated. Implement strict network segmentation to limit lateral movement of attackers. Configure firewalls to restrict device access only from trusted networks and hosts, blocking connections from unauthorized sources.
Solution
Iskra did not respond to CISA's coordination requests, according to the agency. No official patch is available at this time. Organizations should contact Iskra directly through the manufacturer's contact page to obtain information about patch availability or specific guidance. Until a fix is made available, it is essential to immediately apply the workarounds recommended by CISA to minimize the risk of exploitation.
Primary and secondary sources
Siemens Advanced Licensing (SALT) Toolkit
Description
The Siemens Advanced Licensing Toolkit SDK does not validate the server certificate when establishing TLS connections with the authorization server. The flaw allows unauthenticated remote attackers to perform man-in-the-middle attacks, intercepting licensing communications between client applications and authorization servers. The vulnerability stems from inadequate implementation of cryptographic verification during the TLS handshake, enabling adversaries positioned on the network to present forged certificates without detection.
Affected systems
- COMOS V10.6: all versions
- JT Bi-Directional Translator for STEP: all versions
- NX V2412: all versions prior to V2412.8900
- NX V2506: all versions prior to V2506.6000
- Simcenter 3D: all versions prior to V2506.6000
- Simcenter Femap: all versions prior to V2506.0002
- Simcenter Studio: all versions
- Simcenter System Architect: all versions
- Tecnomatix Plant Simulation: all versions prior to V2504.0007
Workarounds
Protect network access to devices with appropriate mechanisms and configure the environment according to Siemens operational guidelines for industrial security.
Solution
Siemens has released patched versions for NX V2412.8900 or later, NX V2506.6000 or later, Simcenter 3D V2506.6000 or later, Simcenter Femap V2506.0002 or later, and Tecnomatix Plant Simulation V2504.0007 or later. For JT Bi-Directional Translator for STEP, COMOS V10.6, Simcenter Studio, and Simcenter System Architect, no fix is currently available, and workarounds should be applied.
Primary and secondary sources
Siemens IAM Client
Description
The IAM client integrated into various products presents an absence of server certificate validation when establishing TLS connections with the authorization server. The flaw allows unauthenticated remote attackers to execute man-in-the-middle attacks, intercepting and manipulating licensing and authorization traffic between client applications and Siemens authentication servers. Exploitation does not require privileges, user interaction, or sophisticated techniques.
Affected systems
- COMOS V10.6: all versions
- NX V2412: all versions prior to V2412.8700
- NX V2506: all versions prior to V2506.6000
- Simcenter 3D: all versions prior to V2506.6000
- Simcenter Femap: all versions prior to V2506.0002
- Solid Edge SE2025: all versions prior to V225.0 Update 10
- Solid Edge SE2026: all versions prior to V226.0 Update 1
Workarounds
Protect network access to devices with appropriate mechanisms and configure the environment according to Siemens operational guidelines for industrial security.
Solution
Siemens has released patched versions for NX V2412.8700 or later, NX V2506.6000 or later, Simcenter 3D V2506.6000 or later, Simcenter Femap V2506.0002 or later, Solid Edge SE2025 V225.0 Update 10 or later, and Solid Edge SE2026 V226.0 Update 1 or later. For COMOS V10.6, no fix is currently available, and recommended workarounds should be applied.
Primary and secondary sources
Hitachi Energy AFS, AFR and AFF Series
Description
Several Hitachi Energy products are affected by a vulnerability in RADIUS. In this sense, the RADIUS RFC 2865 protocol is susceptible to forgery attacks by local attackers who can modify any valid response through an attack against the MD5 signature of the Response Authenticator.
Affected systems
- AFS 660-B/C/S: all versions
- AFS 665-B/S: all versions
- AFS 670 v2.0: all versions
- AFS 650: all versions
- AFS 655: all versions
- AFS 670: all versions
- AFS 675: all versions
- AFS 677: all versions
- AFR 677: all versions
- AFF 660: all versions
- AFF 665: all versions
Workarounds
Immediately enable the default RADIUS configuration on affected devices, which activates the RADIUS Server Message Authenticator option.
Solution
Hitachi Energy recommends configuring devices to the default that enables the RADIUS server message authenticator option. Consult the Hitachi Energy advisory for specific commands and detailed configuration guidance.
Primary and secondary sources
Johnson Controls iSTAR
Description
Johnson Controls products present multiple operating system command injection vulnerabilities that allow device control under certain circumstances. The flaws stem from inadequate neutralization of special elements used in system commands, enabling remote attackers with limited privileges to execute arbitrary commands over the network.
Affected systems
- iSTAR Ultra: versions prior to 6.9.7.CU01
- iSTAR Ultra SE: versions prior to 6.9.7.CU01
- iSTAR Ultra LT: versions prior to 6.9.7.CU01
- iSTAR Ultra G2: versions prior to 6.9.3
- iSTAR Ultra G2 SE: versions prior to 6.9.3
- iSTAR Edge G2: versions prior to 6.9.3
Workarounds
Minimize network exposure of all devices and control systems, ensuring they are not accessible from the Internet. Position control system networks and remote devices behind firewalls with restrictive rules, isolating them from corporate networks. When remote access is necessary, use more secure methods such as virtual private networks, recognizing that VPNs may have vulnerabilities and should be updated to newer versions.
Solution
Johnson Controls has released firmware fixes for all affected models. For iSTAR Ultra, Ultra SE, and Ultra LT, update to version 6.9.7.CU01 or higher. For iSTAR Ultra G2, Ultra G2 SE, and Edge G2, update to version 6.9.3 or higher. Users should apply updates immediately through official procedures. Detailed mitigation instructions are available in Product Security Advisories JCI-PSA-2025-14 and JCI-PSA-2025-15.
Primary and secondary sources
OpenPLC ScadaBR
Description
The SCADA system contains an unrestricted upload vulnerability with dangerous file type that allows authenticated remote users to upload and execute arbitrary JSP files through the view_edit.shtm endpoint. The flaw stems from the absence of adequate file type restrictions during upload processing, enabling authenticated attackers to bypass security controls and inject malicious code directly into vulnerable systems. Successful exploitation allows remote code execution in the web application context, providing attackers with persistent access and the ability to execute commands in the industrial environment. The vulnerability is being actively exploited by threat actors in the real world, including the TwoNet hacktivist group, according to confirmed evidence that led to inclusion in CISA's Known Exploited Vulnerabilities catalog.
Affected systems
- OpenPLC ScadaBR on Linux: versions up to 0.9.1
- OpenPLC ScadaBR on Windows: versions up to 1.12.4
Workarounds
The vendor has not disclosed workarounds for this flaw.
Solution
CISA added this vulnerability to the Known Exploited Vulnerabilities catalog on December 3, 2025, citing evidence of active exploitation. Organizations should apply mitigations according to vendor instructions by December 24, 2025. According to investigations, the vulnerability is being actively exploited by threat actors, including the TwoNet hacktivist group.
Primary and secondary sources
Advantech iView
Description
The video management and industrial monitoring platform does not properly sanitize SNMP v1 trap requests through port 162, allowing unauthenticated remote attackers to inject arbitrary SQL commands. The flaw stems from inadequate neutralization of special elements used in SQL commands during SNMP message processing, enabling attackers to exploit this functionality without requiring valid credentials. Successful exploitation allows disclosure, modification, and deletion of sensitive information.
Affected systems
- Advantech iView: versions 5.7.05.7057 and earlier
Workarounds
Minimize network exposure of all devices and control systems, ensuring they are not accessible from the Internet. Position control system networks and remote devices behind firewalls, isolating them from corporate networks. Implement strict firewall rules to block unauthorized access to UDP port 162. When remote access is necessary, use more secure methods such as virtual private networks, recognizing that VPNs may have vulnerabilities and should be updated to newer versions.
Solution
Advantech recommends that users update to iView version 5.8.1, available through Advantech's official support portal.
Primary and secondary sources
Universal Boot Loader (U-Boot)
Description
U-Boot contains an improper access control flaw for volatile memory, allowing attackers with local access to execute arbitrary code during the boot process. The vulnerability stems from inadequate access controls over volatile memory regions where initialization code is copied. Successful exploitation enables adversaries with physical access to the device to execute arbitrary code in the bootloader context, before any operating system security controls take effect.
Affected systems
- U-Boot: all versions prior to 2017.11
- Qualcomm IPQ4019
- Qualcomm IPQ5018
- Qualcomm IPQ5322
- Qualcomm IPQ6018
- Qualcomm IPQ8064
- Qualcomm IPQ8074
- Qualcomm IPQ9574
Workarounds
Konsulko, the third-party company responsible for U-boot maintenance, recommends that users ensure physical device security, in addition to updating to the patched versions.
Solution
Konsulko, third-party maintainer of U-Boot, recommends that users update to version v2025.4 or later. Qualcomm recommends that users with affected chips contact support.
Primary and secondary sources
Contexto
Esta es la Notificación de Vulnerabilidades (NDV) correspondiente al mes de diciembre de 2025. En este documento, producido por el equipo de Inteligencia de Amenazas Cibernéticas de SEK, se listan las principales vulnerabilidades catalogadas en el último mes.
En nuestro análisis, priorizamos las vulnerabilidades críticas y altas presentes en productos y tecnologías más relevantes y utilizados en la industria. Cabe señalar que este es un documento dirigido a la comunidad de ciberseguridad en su conjunto. Para un trabajo más específico, recomendamos la contratación de nuestro servicio de gestión de vulnerabilidades, cuyo enfoque está en la detección y mitigación de vulnerabilidades encontradas en todo el parque de nuestros clientes de forma personalizada.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
Industrial Video & Control Longwatch
Schneider Electric EcoStruxure Foxboro DCS Advisor
Iskra iHUB e iHUB Lite
Siemens Advanced Licensing (SALT) Toolkit
Siemens IAM Client
Hitachi Energy AFS, AFR e AFF Series
Johnson Controls iSTAR
OpenPLC ScadaBR (Explotada Activamente)
Advantech iView
Universal Boot Loader (U-Boot)
THINK AHEAD, ACT NOW.
Industrial Video & Control Longwatch
Descripción
El sistema de vigilancia y monitoreo por video presenta una falla crítica de inyección de código que permite ejecución remota no autenticada de comandos arbitrarios. La vulnerabilidad se deriva de la ausencia de controles de firma y ejecución de código en un endpoint HTTP expuesto, posibilitando que atacantes envíen solicitudes HTTP GET especialmente creadas para ejecutar códigos sin necesidad de credenciales. La explotación exitosa otorga privilegios de nivel SYSTEM al invasor, resultando en compromiso total del dispositivo.
Sistemas afectados
- Longwatch versiones 6.309 a 6.334
Remediaciones de contorno
Minimizar la exposición de red de todos los dispositivos de sistemas de control, garantizando que no sean accesibles desde internet. Posicionar redes de sistemas de control y dispositivos remotos detrás de firewalls, aislándolos de las redes corporativas. Cuando el acceso remoto sea necesario, utilizar métodos seguros como VPNs, reconociendo que las VPNs pueden presentar vulnerabilidades y deben mantenerse actualizadas.
Solución
Industrial Video & Control ha puesto a disposición la versión corregida 6.335 de Longwatch. Los usuarios deben actualizar inmediatamente a esta versión o posterior.
Fuentes primarias y secundarias
Schneider Electric EcoStruxure Foxboro DCS Advisor
Descripción
Una vulnerabilidad divulgada por Microsoft en Windows Server Update Services afecta servidores del EcoStruxure Foxboro DCS Advisor de Schneider Electric. El componente opcional del sistema EcoStruxure Foxboro DCS es afectado por la vulnerabilidad en los servicios del WSUS, la cual permite que atacantes remotos no autenticados envíen solicitudes especialmente creadas y ejecuten códigos arbitrarios en el sistema afectado sin autorización. La explotación activa en ambientes reales fue confirmada por múltiples empresas de seguridad cibernética.
Sistemas afectados
- EcoStruxure Foxboro DCS Advisor con Windows Server Update Services en MS Server 2016 con actualización KB5066836
- EcoStruxure Foxboro DCS Advisor con Windows Server Update Services en MS Server 2022 con actualización KB5066782
Remediaciones de contorno
Schneider Electric recomienda localizar las redes de sistemas de control y seguridad y los dispositivos remotos detrás de firewalls y aislarlos de la red de la empresa. También se recomienda verificar todos los métodos de intercambio de datos móviles con la red aislada, como CDs, unidades USB, etc., antes de usarlos en los terminales. Las empresas deben minimizar la exposición de red para todos los dispositivos y sistemas de control y verificar que no sean accesibles desde Internet. Cuando el acceso remoto sea necesario, utilizar métodos seguros, como Redes Virtuales Privadas (VPNs).
Solución
Microsoft ha puesto a disposición parches de emergencia para Windows Server 2016 y KB5070884 para Windows Server 2019 que corrigen completamente la vulnerabilidad CVE-2025-59287. Schneider Electric recomienda que los usuarios apliquen inmediatamente las correcciones correspondientes disponibles directamente a través del WSUS. La instalación del parche puede requerir reinicio del servidor para conclusión completa de la actualización. Los clientes deben contactar el Soporte Global de Schneider Electric para verificar si la actualización fue aplicada con éxito.
Fuentes primarias y secundarias
Iskra iHUB e iHUB Lite
Descripción
Los gateways de mediación inteligente exponen la interfaz de gestión web sin exigir autenticación, permitiendo que usuarios no autenticados accedan y modifiquen configuraciones críticas del dispositivo. La falla se deriva de la ausencia de mecanismos de autenticación en la interfaz administrativa, posibilitando que atacantes remotos reconfiguren dispositivos, actualicen firmware y manipulen sistemas conectados sin proporcionar ninguna credencial. La vulnerabilidad puede ser explotada sin necesidad de interacción del usuario o técnicas sofisticadas.
Sistemas afectados
- Iskra iHUB: todas las versiones
- Iskra iHUB Lite: todas las versiones
Remediaciones de contorno
Minimizar la exposición de red de todos los dispositivos de sistemas de control, garantizando que no sean accesibles desde internet. Posicionar redes de sistemas de control y dispositivos remotos detrás de firewalls, aislándolos de las redes corporativas. Cuando el acceso remoto sea necesario, utilizar métodos seguros como VPNs, reconociendo que las VPNs deben mantenerse actualizadas. Implementar segmentación de red rigurosa para limitar movimiento lateral de atacantes. Configurar firewalls para restringir acceso a los dispositivos solo desde redes y hosts confiables, bloqueando conexiones de orígenes no autorizados.
Solución
Iskra no respondió a las solicitudes de coordinación de CISA, según la agencia. No hay parche oficial disponible en este momento. Las organizaciones deben contactar a Iskra directamente a través de la página de contacto del fabricante para obtener información sobre disponibilidad de correcciones u orientaciones específicas. Hasta que una corrección sea puesta a disposición, es esencial aplicar inmediatamente las remediaciones de contorno recomendadas por CISA para minimizar el riesgo de explotación.
Fuentes primarias y secundarias
Siemens Advanced Licensing (SALT) Toolkit
Descripción
El SDK del Siemens Advanced Licensing Toolkit no valida el certificado de servidor al establecer conexiones TLS con el servidor de autorización. La falla permite que atacantes remotos no autenticados realicen ataques man-in-the-middle, interceptando comunicaciones de licenciamiento entre aplicaciones cliente y servidores de autorización. La vulnerabilidad se deriva de la implementación inadecuada de verificación criptográfica durante el handshake TLS, posibilitando que adversarios posicionados en la red presenten certificados falsificados sin detección.
Sistemas afectados
- COMOS V10.6: todas las versiones
- JT Bi-Directional Translator for STEP: todas las versiones
- NX V2412: todas las versiones anteriores a V2412.8900
- NX V2506: todas las versiones anteriores a V2506.6000
- Simcenter 3D: todas las versiones anteriores a V2506.6000
- Simcenter Femap: todas las versiones anteriores a V2506.0002
- Simcenter Studio: todas las versiones
- Simcenter System Architect: todas las versiones
- Tecnomatix Plant Simulation: todas las versiones anteriores a V2504.0007
Remediaciones de contorno
Proteger el acceso de red a los dispositivos con mecanismos apropiados y configurar el ambiente de acuerdo con las directrices operacionales de Siemens para seguridad industrial.
Solución
Siemens ha puesto a disposición versiones corregidas para NX V2412.8900 o posterior, NX V2506.6000 o posterior, Simcenter 3D V2506.6000 o posterior, Simcenter Femap V2506.0002 o posterior y Tecnomatix Plant Simulation V2504.0007 o posterior. Para JT Bi-Directional Translator for STEP, COMOS V10.6, Simcenter Studio y Simcenter System Architect, actualmente no hay corrección disponible, debiendo aplicarse las remediaciones de contorno.
Fuentes primarias y secundarias
Siemens IAM Client
Descripción
El IAM cliente integrado en diversos productos presenta ausencia de validación de certificado de servidor al establecer conexiones TLS con el servidor de autorización. La falla permite que atacantes remotos no autenticados ejecuten ataques man-in-the-middle, interceptando y manipulando tráfico de licenciamiento y autorización entre aplicaciones cliente y servidores de autenticación de Siemens. La explotación no requiere privilegios, interacción del usuario o técnicas sofisticadas.
Sistemas afectados
- COMOS V10.6: todas las versiones
- NX V2412: todas las versiones anteriores a V2412.8700
- NX V2506: todas las versiones anteriores a V2506.6000
- Simcenter 3D: todas las versiones anteriores a V2506.6000
- Simcenter Femap: todas las versiones anteriores a V2506.0002
- Solid Edge SE2025: todas las versiones anteriores a V225.0 Update 10
- Solid Edge SE2026: todas las versiones anteriores a V226.0 Update 1
Remediaciones de contorno
Proteger el acceso de red a los dispositivos con mecanismos apropiados y configurar el ambiente de acuerdo con las directrices operacionales de Siemens para seguridad industrial.
Solución
Siemens ha puesto a disposición versiones corregidas para NX V2412.8700 o posterior, NX V2506.6000 o posterior, Simcenter 3D V2506.6000 o posterior, Simcenter Femap V2506.0002 o posterior, Solid Edge SE2025 V225.0 Update 10 o posterior y Solid Edge SE2026 V226.0 Update 1 o posterior. Para COMOS V10.6, actualmente no hay corrección disponible, debiendo aplicarse las remediaciones de contorno recomendadas.
Fuentes primarias y secundarias
Hitachi Energy AFS, AFR e AFF Series
Descripción
Diversos productos de Hitachi Energy son afectados por una vulnerabilidad en RADIUS. En ese sentido, el protocolo RADIUS RFC 2865 es susceptible a ataques de falsificación por atacantes locales que pueden modificar cualquier respuesta válida a través de ataque contra la firma MD5 del Response Authenticator.
Sistemas afectados
- AFS 660-B/C/S: todas las versiones
- AFS 665-B/S: todas las versiones
- AFS 670 v2.0: todas las versiones
- AFS 650: todas las versiones
- AFS 655: todas las versiones
- AFS 670: todas las versiones
- AFS 675: todas las versiones
- AFS 677: todas las versiones
- AFR 677: todas las versiones
- AFF 660: todas las versiones
- AFF 665: todas las versiones
Remediaciones de contorno
Habilitar inmediatamente la configuración RADIUS por defecto en los dispositivos afectados, lo que activa la opción RADIUS Server Message Authenticator.
Solución
Hitachi Energy recomienda configurar los dispositivos para el estándar que habilita la opción RADIUS server message authenticator. Consultar el advisory de Hitachi Energy para comandos específicos y orientaciones detalladas de configuración.
Fuentes primarias y secundarias
Johnson Controls iSTAR
Descripción
Los productos de Johnson Controls presentan múltiples vulnerabilidades de inyección de comandos del sistema operativo que permiten control de los dispositivos bajo determinadas circunstancias. Las fallas se derivan de la neutralización inadecuada de elementos especiales utilizados en comandos del sistema, posibilitando que invasores remotos con privilegios limitados ejecuten comandos arbitrarios a través de la red.
Sistemas afectados
- iSTAR Ultra: versiones anteriores a 6.9.7.CU01
- iSTAR Ultra SE: versiones anteriores a 6.9.7.CU01
- iSTAR Ultra LT: versiones anteriores a 6.9.7.CU01
- iSTAR Ultra G2: versiones anteriores a 6.9.3
- iSTAR Ultra G2 SE: versiones anteriores a 6.9.3
- iSTAR Edge G2: versiones anteriores a 6.9.3
Remediaciones de contorno
Minimizar exposición de red de todos los dispositivos y sistemas de control, garantizando que no sean accesibles desde Internet. Posicionar redes de sistemas de control y dispositivos remotos detrás de firewalls con reglas restrictivas, aislándolos de las redes corporativas. Cuando el acceso remoto sea necesario, utilizar métodos más seguros como redes privadas virtuales, reconociendo que las VPNs pueden presentar vulnerabilidades y deben actualizarse a versiones más recientes.
Solución
Johnson Controls ha puesto a disposición correcciones de firmware para todos los modelos afectados. Para iSTAR Ultra, Ultra SE y Ultra LT, actualizar a versión 6.9.7.CU01 o superior. Para iSTAR Ultra G2, Ultra G2 SE y Edge G2, actualizar a versión 6.9.3 o superior. Los usuarios deben aplicar las actualizaciones inmediatamente a través de los procedimientos oficiales. Instrucciones detalladas de mitigación están disponibles en los Product Security Advisories JCI-PSA-2025-14 y JCI-PSA-2025-15.
Fuentes primarias y secundarias
OpenPLC ScadaBR
Descripción
El sistema SCADA contiene vulnerabilidad de carga irrestricta de archivo con tipo peligroso que permite a usuarios remotos autenticados cargar y ejecutar archivos JSP arbitrarios a través del endpoint view_edit.shtm. La falla se deriva de la ausencia de restricciones adecuadas de tipo de archivo durante el procesamiento de cargas, posibilitando que invasores autenticados evadan controles de seguridad e inyecten código malicioso directamente en los sistemas vulnerables. La explotación exitosa permite ejecución remota de código en el contexto de la aplicación web, proporcionando a los atacantes acceso persistente y capacidad de ejecutar comandos en el ambiente industrial. La vulnerabilidad está siendo activamente explotada por actores de amenaza en ambiente real, incluyendo el grupo hacktivista TwoNet, conforme evidencias confirmadas que llevaron a la inclusión en el catálogo de Vulnerabilidades Explotadas Conocidas de CISA.
Sistemas afectados
- OpenPLC ScadaBR en Linux: versiones hasta 0.9.1
- OpenPLC ScadaBR en Windows: versiones hasta 1.12.4
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta falla.
Solución
CISA añadió esta vulnerabilidad al catálogo de Vulnerabilidades Explotadas Conocidas el 3 de diciembre de 2025, citando evidencias de explotación activa. Las organizaciones deben aplicar mitigaciones conforme instrucciones del fabricante hasta el 24 de diciembre de 2025. Según investigaciones, la vulnerabilidad está siendo activamente explotada por actores de amenaza, incluyendo grupo hacktivista TwoNet.
Fuentes primarias y secundarias
Advantech iView
Descripción
La plataforma de gestión de video y monitoreo industrial no sanitiza adecuadamente solicitudes SNMP v1 trap a través del puerto 162, permitiendo que atacantes remotos no autenticados inyecten comandos SQL arbitrarios. La falla se deriva de la neutralización inadecuada de elementos especiales utilizados en comandos SQL durante el procesamiento de mensajes SNMP, posibilitando que invasores exploten esta funcionalidad sin necesidad de credenciales válidas. La explotación exitosa permite divulgación, modificación y exclusión de informaciones sensibles.
Sistemas afectados
- Advantech iView: versiones 5.7.05.7057 y anteriores
Remediaciones de contorno
Minimizar exposición de red de todos los dispositivos y sistemas de control, garantizando que no sean accesibles desde Internet. Posicionar redes de sistemas de control y dispositivos remotos detrás de firewalls, aislándolos de las redes corporativas. Implementar reglas rigurosas de firewall para bloquear acceso no autorizado al puerto UDP 162. Cuando el acceso remoto sea necesario, utilizar métodos más seguros como redes privadas virtuales, reconociendo que las VPNs pueden presentar vulnerabilidades y deben actualizarse a versiones más recientes.
Solución
Advantech recomienda que los usuarios actualicen a iView versión 5.8.1, disponible a través del portal de soporte oficial de Advantech.
Fuentes primarias y secundarias
Universal Boot Loader (U-Boot)
Descripción
U-Boot contiene falla de control de acceso inadecuado para memoria volátil, permitiendo que atacantes con acceso local ejecuten código arbitrario durante el proceso de boot. La vulnerabilidad se deriva de controles de acceso inadecuados sobre regiones de memoria volátil donde el código de inicialización es copiado. La explotación exitosa posibilita que adversarios con acceso físico al dispositivo ejecuten código arbitrario en el contexto del bootloader, antes de que cualesquiera controles de seguridad del sistema operativo entren en vigor.
Sistemas afectados
- U-Boot: todas las versiones anteriores a 2017.11
- Qualcomm IPQ4019
- Qualcomm IPQ5018
- Qualcomm IPQ5322
- Qualcomm IPQ6018
- Qualcomm IPQ8064
- Qualcomm IPQ8074
- Qualcomm IPQ9574
Remediaciones de contorno
Konsulko, empresa tercerizada responsable del mantenimiento del U-boot, recomienda que los usuarios garanticen la seguridad física del dispositivo, además de actualizar a las versiones corregidas.
Solución
Konsulko, mantenedora tercerizada del U-Boot, recomienda que los usuarios actualicen a versión v2025.4 o posterior. Qualcomm recomienda que usuarios con los chips afectados contacten el soporte.
Fuentes primarias y secundarias
Central de Conteúdos SEK
SEK Content Hub
Central de Contenidos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de Conteúdos