Contexto
Esta é a Notificação de Vulnerabilidades (NDV) referente ao mês de janeiro de 2026. Neste documento, produzido pelo time de Inteligência de Ameaças Cibernéticas da SEK, estão listadas as principais vulnerabilidades catalogadas no último mês.
Em nossa análise, priorizamos as vulnerabilidades críticas e altas presentes nos produtos e tecnologias mais relevantes e utilizados na indústria. Cabe pontuar que este é um documento direcionado à comunidade de cibersegurança como um todo. Para um trabalho mais específico, recomendamos a contratação de nosso serviço de gestão de vulnerabilidades, cujo foco está na detecção e mitigação de vulnerabilidades encontradas em todo o parque de nossos clientes de forma personalizada.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
AVEVA Process Optimization
Siemens Industrial Edge
Festo Firmware
Hitachi Energy Asset Suite
WHILL Model C2 e Model F
RUGGEDCOM APE1808
TeleControl Server Basic
CODESYS Control Runtime
Verve Asset Manager
SIMATIC ET e SIPLUS
THINK AHEAD, ACT NOW.
AVEVA Process Optimization
Descrição
A vulnerabilidade decorre de uma falha de injeção de código na API do produto que permite a um atacante não autenticado executar código malicioso remotamente. A exploração bem-sucedida possibilita a obtenção de privilégios de sistema operacional através do serviço taoimr, concedendo controle total sobre o Model Application Server. O atacante pode comprometer a integridade, confidencialidade e disponibilidade do sistema afetado, executando comandos arbitrários com privilégios elevados, sem necessidade de autenticação prévia ou interação do usuário.
Sistemas afetados
- AVEVA Process Optimization (anteriormente ROMeo) 2024.1 e todas as versões anteriores
Remediações de contorno
O fabricante recomenda as seguintes medidas temporárias até que a atualização de segurança possa ser aplicada: configurar regras de firewall em nível de host ou rede para restringir o serviço taoimr a aceitar tráfego exclusivamente de fontes confiáveis, considerando que por padrão o produto escuta nas portas 8888/8889 com TLS; aplicar listas de controle de acesso às pastas de instalação e dados, limitando permissões de escrita apenas a usuários autorizados; e manter uma cadeia de custódia confiável sobre os arquivos de projeto durante criação, modificação, distribuição, backups e uso.
Solução
O fabricante disponibilizou correção de segurança através da atualização para AVEVA Process Optimization 2025 ou versão superior, que deve ser aplicada prioritariamente para eliminar completamente a vulnerabilidade.
Fontes primárias e secundárias
Siemens Industrial Edge Device Kit e Devices
Descrição
A vulnerabilidade resulta de uma falha na aplicação adequada da autenticação de usuários em determinados endpoints de API. A falha permite que um atacante remoto não autenticado contorne os mecanismos de autenticação e se faça passar por um usuário legítimo do sistema. Para exploração bem-sucedida, o atacante precisa ter conhecimento da identidade de um usuário válido registrado no sistema. Uma vez explorada, a vulnerabilidade possibilita ao atacante executar ações privilegiadas em nome do usuário personificado, comprometendo completamente a confidencialidade, integridade e disponibilidade do dispositivo afetado, além de permitir acesso não autorizado às interfaces de gerenciamento e configuração do ecossistema Industrial Edge.
Sistemas afetados
- Industrial Edge Device Kit – arm64: V1.5 até V1.23 (todas as versões), V1.24 (versões anteriores à V1.24.2) e V1.25 (versões anteriores à V1.25.1)
- Industrial Edge Device Kit – x86-64: V1.5 até V1.23 (todas as versões), V1.24 (versões anteriores à V1.24.2) e V1.25 (versões anteriores à V1.25.1)
- Industrial Edge Cloud Device (IECD): versões anteriores à V1.24.2
- Industrial Edge Own Device (IEOD): versões anteriores à V1.24.2
- Industrial Edge Virtual Device (IEVD): versões anteriores à V1.24.2
- SCALANCE LPE9413 e LPE9433: versões anteriores à V2.2
- SIMATIC HMI MTP (séries 700, 1000, 1200, 1500, 1900 e 2200 Unified Comfort Panel): versões anteriores à V21
- SIMATIC IOT2050: versões anteriores à V1.25.1
- SIMATIC IPC BX-39A, BX-59A, IPC127E, IPC227E, IPC227G, IPC427E e IPC847E Industrial Edge Device: versões anteriores à V3.1
- SIMATIC Automation Workstation 19" e 24": todas as versões
Remediações de contorno
O fabricante recomenda garantir que o acesso de rede aos produtos afetados seja limitado exclusivamente a partes confiáveis, implementando mecanismos apropriados de proteção em nível de rede e host. Para operar os dispositivos em um ambiente de TI protegido, o fabricante orienta configurar o ambiente de acordo com as diretrizes operacionais da Siemens para Segurança Industrial e seguir as recomendações nos manuais dos produtos.
Solução
O fabricante disponibilizou atualizações de segurança para diversos produtos afetados. Para Industrial Edge Device Kit V1.24, atualizar para V1.24.2 ou superior; para V1.25, atualizar para V1.25.1 ou superior. Industrial Edge Cloud Device, Own Device e Virtual Device devem ser atualizados para V1.24.2 ou superior. SCALANCE LPE9413 e LPE9433 devem ser atualizados para V2.2 ou superior. Painéis SIMATIC HMI MTP devem ser atualizados para V21 ou superior. SIMATIC IOT2050 deve ser atualizado para V1.25.1 ou superior. Dispositivos SIMATIC IPC Industrial Edge devem ser atualizados para V3.1 ou superior. Para produtos onde correções não estão disponíveis, incluindo versões V1.5 a V1.23 do Industrial Edge Device Kit e SIMATIC Automation Workstation, o fabricante está preparando versões corrigidas e recomenda aplicar as medidas de mitigação até que as atualizações sejam disponibilizadas.
Fontes primárias e secundárias
Festo Firmware
Descrição
A vulnerabilidade decorre da implementação de um protocolo não documentado que permite acesso remoto sem autenticação a funções críticas dos dispositivos. O protocolo proprietário Festo Generic Multicast (FGMC) possibilita que um atacante remoto não autenticado envie mensagens UDP específicas para o grupo multicast 239.255.2.3 na porta 10002, executando comandos sensíveis como reinicialização de dispositivos e modificação de configurações. A exploração bem-sucedida da falha resulta em perda completa de confidencialidade, integridade e disponibilidade dos sistemas afetados, permitindo que qualquer usuário na rede assuma controle dos controladores lógicos programáveis sem necessidade de credenciais ou interação do usuário.
Sistemas afetados
- Bus Module CPX-E-EP (todas as versões)
- Bus Node CPX-FB (modelos 32, 33, 36, 37, 39, 40, 43), CPX-M-FB (modelos 34, 35, 45)
- Control Block CPX-CEC-M1-V3, CPX-FEC-1-IE
- Controller CECC-X-M1, CECC-LK, CECC-D, CECC-S, CMXH-ST2-C5-7-DIOP
- Servo CMMT-AS (modelos C2, C4, C5, C7, C8 em diversas configurações P3-MP, P3-EP, P3-PN)
- Motor Controller CMMP-AS (modelos C5, C8, C10, C15, C18), CMMO-ST-C5-1-DIOP
- Integrated Drive EMCA-EC-67
- Compact Vision System SBOI-Q, SBOC-M
- Interface CTEU-EP, CPX-AP-I-PN-M12
- Demais produtos Festo que utilizam o protocolo FGMC
Remediações de contorno
O fabricante recomenda minimizar e proteger o acesso de rede aos dispositivos conectados utilizando técnicas e processos atualizados. Para operação segura, devem ser seguidas as recomendações nos manuais dos produtos e observados os protocolos e recursos suportados no Festo Field Device Tool ou Festo Automation Suite. Usuários que executam comunicação em redes não confiáveis e necessitam proteção completa devem migrar para soluções alternativas, como executar a comunicação através de VPN. Adicionalmente, recomenda-se implementar firewalls para proteger e separar a rede do sistema de controle de outras redes, limitar o acesso físico e lógico aos sistemas, utilizar gerenciamento de usuários e senhas, ativar comunicação criptografada e aplicar soluções atualizadas de detecção de vírus.
Solução
O fabricante atualizou a documentação técnica dos manuais de usuário na próxima versão do produto para abordar esta questão. Para muitos produtos afetados, não há previsão de correção via firmware, sendo que a resolução completa será implementada na próxima geração de hardware. Organizações devem priorizar a implementação das remediações de contorno recomendadas, especialmente segmentação de rede e uso de VPN, até que equipamentos substitutos estejam disponíveis.
Fontes primárias e secundárias
Hitachi Energy Asset Suite
Descrição
A vulnerabilidade reside no componente de terceiros Jasper Report integrado ao Asset Suite, especificamente na biblioteca Jaspersoft. Uma falha de deserialização Java permite que dados fornecidos externamente sejam manipulados de forma inadequada pelo sistema. Um atacante pode explorar esta fraqueza enviando dados de relatório especialmente construídos que, ao serem deserializados pela aplicação, possibilitam a execução arbitrária de código remotamente no servidor que hospeda o Asset Suite. A exploração bem-sucedida concede ao atacante controle completo sobre o sistema afetado, comprometendo confidencialidade, integridade e disponibilidade dos ativos gerenciados pela plataforma, que é amplamente utilizada no setor de energia para gerenciamento de ativos corporativos em ambientes industriais críticos.
Sistemas afetados
- Hitachi Energy Asset Suite: versões 9.7 e anteriores
Remediações de contorno
O fabricante recomenda restringir o carregamento de relatórios personalizados externos criados por usuários finais, permitindo exclusivamente relatórios Jasper confiáveis gerados pelo administrador do sistema. Adicionalmente, devem ser aplicados fatores gerais de mitigação que incluem segmentação de rede, proteções de firewall e medidas de acesso remoto seguro. Os sistemas de controle de processo devem ser fisicamente protegidos contra acesso direto por pessoal não autorizado, não devem ter conexões diretas com a Internet e devem ser separados de outras redes por meio de sistema de firewall com número mínimo de portas expostas.
Solução
O fabricante disponibilizou correção de segurança através da atualização para a versão 9.8 do Asset Suite, que deve ser aplicada prioritariamente para eliminar completamente a vulnerabilidade. As organizações devem realizar avaliação adequada de impacto e risco antes de implementar as medidas de defesa.
Fontes primárias e secundárias
WHILL Model C2 e Model F
Descrição
A vulnerabilidade resulta da ausência de mecanismos de autenticação adequados nas conexões Bluetooth dos dispositivos de mobilidade. A falha permite que um atacante dentro do alcance da comunicação sem fio Bluetooth, aproximadamente 9 metros, emparelhe seu dispositivo com a cadeira de rodas elétrica ou cadeira de força sem fornecer credenciais ou exigir qualquer tipo de interação do usuário legítimo. Uma vez estabelecida a conexão não autorizada, o atacante pode emitir comandos de movimentação direcional, sobrescrever restrições de velocidade configuradas para segurança do usuário, manipular perfis de configuração do dispositivo e controlar remotamente as funções críticas da cadeira. A exploração bem-sucedida representa risco direto à segurança física dos usuários, que frequentemente são pessoas com mobilidade reduzida em ambientes domésticos, instituições de saúde e espaços públicos.
Sistemas afetados
- WHILL Model C2 Electric Wheelchair (todas as versões)
- WHILL Model F Power Chair (todas as versões)
Remediações de contorno
Os usuários devem minimizar a exposição de rede de todos os dispositivos de sistema de controle, assegurando que não sejam acessíveis pela Internet. Deve-se limitar a conectividade Bluetooth quando os aplicativos complementares não estiverem sendo utilizados ativamente. Instituições de saúde devem revisar os locais onde essas cadeiras são implantadas e implementar proteções práticas, como restringir o acesso não autorizado próximo às áreas de pacientes, para reduzir o risco de ataques Bluetooth de curto alcance. Quando o acesso remoto for necessário, utilizar métodos mais seguros como redes privadas virtuais, reconhecendo que VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais recente disponível.
Solução
O fabricante WHILL implantou correções em 29 de dezembro de 2025 que incluem: implementação de salvaguarda no firmware da cadeira de rodas para prevenir modificação não autorizada de perfis de velocidade a partir do aplicativo móvel; restrição de comandos de desbloqueio durante movimento, bloqueando comandos de desbloqueio emitidos tanto do aplicativo móvel quanto da chave inteligente enquanto a cadeira estiver em movimento. As organizações devem realizar análise adequada de impacto e avaliação de risco antes de implantar as medidas defensivas. Os usuários devem contatar a WHILL Inc. diretamente para obter orientações específicas sobre mitigação e atualizações de firmware.
Fontes primárias e secundárias
RUGGEDCOM APE1808 Devices
Descrição
Uma vulnerabilidade no Nozomi Guardian/CMC afeta dispositivos da Siemens. A vulnerabilidade de Cross-Site Scripting armazenado foi descoberta na funcionalidade de "Reports" devido à validação inadequada de parâmetros de entrada. Um usuário autenticado com privilégios de relatório pode definir um relatório malicioso contendo um payload JavaScript, ou uma vítima pode ser induzida por engenharia social a importar um modelo de relatório malicioso. Quando a vítima visualiza ou importa o relatório, o script malicioso executa no navegador, permitindo que o atacante realize ações não autorizadas em nome da vítima. A exploração possibilita modificação de dados da aplicação, interrupção da disponibilidade do sistema e acesso a informações sensíveis limitadas. A falha requer autenticação para ser explorada.
Sistemas afetados
- RUGGEDCOM APE1808: todas as versões
Remediações de contorno
Como medida geral de segurança, recomenda-se proteger o acesso de rede aos dispositivos afetados com mecanismos apropriados, configurar o ambiente conforme as diretrizes operacionais da Siemens para segurança industrial e seguir as recomendações dos manuais dos produtos.
Solução
A Siemens está preparando versões corrigidas e recomenda que os usuários entrem em contato com o suporte ao cliente para receber informações sobre patches e atualizações.
Fontes primárias e secundárias
TeleControl Server Basic
Descrição
A aplicação afetada contém uma vulnerabilidade de escalação local de privilégios que permite a um atacante executar código arbitrário com privilégios elevados. A falha decorre da execução de processos com permissões desnecessárias, possibilitando que adversários aproveitem essa configuração inadequada para elevar suas permissões. A vulnerabilidade apresenta baixa complexidade de ataque e não requer interação do usuário, tornando-a particularmente perigosa.
Sistemas afetados
- TeleControl Server Basic: todas as versões anteriores à V3.1.2.4
Remediações de contorno
Como medida geral de segurança, recomenda-se proteger o acesso de rede aos dispositivos afetados com mecanismos apropriados, restringir o acesso físico aos sistemas, configurar o ambiente conforme as diretrizes operacionais da Siemens para segurança industrial e seguir as recomendações dos manuais dos produtos.
Solução
A Siemens disponibilizou a versão corrigida V3.1.2.4 do TeleControl Server Basic. Os usuários devem atualizar imediatamente para esta versão ou posterior.
Fontes primárias e secundárias
CODESYS Control Runtime
Descrição
O sistema de runtime CODESYS Control contém funções de acesso à memória que permitem ao código da aplicação PLC ler ou escrever memória além dos limites das áreas de dados alocadas. A falha possibilita que programadores PLC que tenham se autenticado com sucesso executem código de aplicação PLC capaz de acessar toda a memória RAM do processo runtime CODESYS Control. A exploração permite que invasores modifiquem o próprio código da aplicação ou leiam e escrevam dados sensíveis do processo runtime. A vulnerabilidade afeta uma ampla gama de produtos Schneider Electric que incorporam o sistema runtime CODESYS, incluindo controladores programáveis Modicon e dispositivos HMISCU.
Sistemas afetados
- HMISCU Controller
- Modicon Controller M241, M251, M258, M262, M218
- Modicon Controller LMC058, LMC078
- PacDrive 3 Controllers: LMC Eco/Pro/Pro2
- SoftSPS embedded in EcoStruxure Machine Expert
- Vijeo Designer embedded in EcoStruxure Machine Expert
- Harmony (Formerly Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU series
- Easy Harmony HMIET6/HMIFT6
- Magelis HMIGXU series
- Easy Modicon M310
- Magelis XBT series
Remediações de contorno
Garantir o uso de recursos de gerenciamento de usuários e senhas, que estão habilitados por padrão e exigem a criação de senha forte no primeiro uso. Habilitar "Implicit Checks" opcionais em aplicações lógicas. Evitar o uso do tipo de dados POINTER e instruções MEMMOVE, especialmente em entradas não confiáveis. Utilizar controladores e dispositivos apenas em ambiente protegido para minimizar a exposição de rede. Usar firewalls para proteger e separar a rede do sistema de controle de outras redes. Restringir o acesso às portas de programação, tipicamente UDP/1740, TCP/11740, TCP/1105 e TCP/484. Usar túneis VPN se acesso remoto for necessário. Limitar o acesso aos sistemas de desenvolvimento e controle por meios físicos e recursos do sistema operacional. Proteger ambos os sistemas usando proteção contra malware atualizada.
Solução
A Schneider Electric disponibilizou correções para diversos produtos afetados. Para controladores Modicon M241, M251 e M262, atualizar para Machine Expert v2.2 ou posterior através da aplicação Schneider Electric Software Update. Para controladores PacDrive 3 LMC Eco/Pro/Pro2, atualizar para Machine Expert v2.2. Para dispositivos HMISCU, atualizar para Vijeo Designer v6.3.1 ou posterior. O componente SoftSPS foi removido do Machine Expert v2.2. Os controladores Modicon M218 e LMC078 atingiram o fim de vida e não receberão correções, sendo recomendada a migração para Modicon Easy M200, M241 ou M262. Para produtos da série Magelis XBT que atingiram o fim de comercialização, recomenda-se migração para HMIGTO/HMIGTU/HMIGK.
Fontes primárias e secundárias
Verve Asset Manager
Descrição
Uma falha de segurança foi descoberta no componente de playbook Ansible do Verve Asset Manager, resultante do armazenamento incorreto de informações sensíveis não criptografadas durante a execução de playbooks. A vulnerabilidade permite que atacantes com acesso ao sistema obtenham credenciais e dados confidenciais armazenados em cleartext, comprometendo a segurança da plataforma de cibersegurança OT. A exploração pode resultar em acesso não autorizado a sistemas industriais gerenciados pela plataforma, comprometimento de credenciais de administração e exposição de configurações de segurança.
Sistemas afetados
- Rockwell Automation Verve Asset Manager: versões 1.33, 1.34, 1.35, 1.36, 1.37, 1.38, 1.39, 1.40, 1.41, 1.41.1, 1.41.2 e 1.41.3
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Rockwell Automation corrigiu a vulnerabilidade na versão 1.42 do Verve Asset Manager. O componente afetado tornou-se opcional desde a versão 1.36, reduzindo a exposição em instalações mais recentes. A Rockwell Automation recomenda atualizar para a versão mais recente disponível imediatamente.
Fontes primárias e secundárias
SIMATIC ET e SIPLUS
Descrição
Os dispositivos afetados não tratam adequadamente requisições de desconexão de sessão do protocolo S7. Ao receber uma requisição de desconexão S7 válida (COTP DR TPDU) na porta TCP 102, os dispositivos entram em um estado de sessão inadequado, resultando em consumo descontrolado de recursos. A exploração permite que atacantes causem condição de negação de serviço sem necessidade de credenciais ou interação do usuário, tornando o dispositivo não responsivo até que um ciclo de energia seja executado para restaurar a operação normal.
Sistemas afetados
- SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0): todas as versões
- SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0): todas as versões iguais ou posteriores à V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0, 6AG1155-5AA00-7AC0): todas as versões iguais ou posteriores à V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0): todas as versões iguais ou posteriores à V4.2.0
- SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0): todas as versões
- SIMATIC ET 200SP IM 155-6 PN HA (incluindo variantes SIPLUS): todas as versões anteriores à V1.3
- SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0): todas as versões anteriores à V6.0.1
- SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0): todas as versões iguais ou posteriores à V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0, 6AG1155-6AU01-7CN0): todas as versões iguais ou posteriores à V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0): todas as versões iguais ou posteriores à V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0): todas as versões iguais ou posteriores à V4.2.0
- SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0): todas as versões anteriores à V4.2.2
- SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0): todas as versões
- SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0): todas as versões anteriores à V6.0.0
- SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0): todas as versões anteriores à V6.0.0
Remediações de contorno
A Siemens recomenda restringir o acesso à rede onde mensagens de comunicação S7 são trocadas. Além disso, é necessário implementar filtragem da porta 102 dos dispositivos para aceitar apenas conexões de/para endereços IP de máquinas confiáveis, utilizando firewall externo.
Solução
A Siemens disponibilizou atualizações de firmware para alguns produtos afetados. Os usuários devem atualizar para as versões corrigidas específicas: IM 155-6 PN HA para V1.3 ou posterior, IM 155-6 PN R1 para V6.0.1 ou posterior, IM 155-6 PN/3 HF para V4.2.2 ou posterior, e PN/PN Couplers para V6.0.0 ou posterior. Para produtos nos quais não há correção planejada, aplicar imediatamente as remediações de contorno recomendadas.
Fontes primárias e secundárias
Context
This is the Vulnerability Notification (NDV) for January 2026. In this document, produced by SEK's Cyber Threat Intelligence team, the main vulnerabilities cataloged in the last month are listed.
In our analysis, we prioritize critical and high vulnerabilities present in products and technologies most relevant and used in the industry. It should be noted that this is a document aimed at the cybersecurity community as a whole. For more specific work, we recommend hiring our vulnerability management service, whose focus is on the detection and mitigation of vulnerabilities found throughout our clients' infrastructure in a personalized way.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need to update the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
AVEVA Process Optimization
Siemens Industrial Edge
Festo Firmware
Hitachi Energy Asset Suite
WHILL Model C2 and Model F
RUGGEDCOM APE1808
TeleControl Server Basic
CODESYS Control Runtime
Verve Asset Manager
SIMATIC ET and SIPLUS
THINK AHEAD, ACT NOW.
AVEVA Process Optimization
Description
The vulnerability stems from a code injection flaw in the product's API that allows an unauthenticated attacker to execute malicious code remotely. Successful exploitation enables obtaining operating system privileges through the taoimr service, granting complete control over the Model Application Server. The attacker can compromise the integrity, confidentiality, and availability of the affected system, executing arbitrary commands with elevated privileges, without requiring prior authentication or user interaction.
Affected systems
- AVEVA Process Optimization (formerly ROMeo) 2024.1 and all previous versions
Workarounds
The vendor recommends the following temporary measures until the security update can be applied: configure firewall rules at host or network level to restrict the taoimr service to accept traffic exclusively from trusted sources, considering that by default the product listens on ports 8888/8889 with TLS; apply access control lists to installation and data folders, limiting write permissions only to authorized users; and maintain a trusted chain of custody over project files during creation, modification, distribution, backups, and use.
Solution
The vendor has made a security fix available through the update to AVEVA Process Optimization 2025 or higher, which should be applied as a priority to completely eliminate the vulnerability.
Primary and secondary sources
Siemens Industrial Edge Device Kit and Devices
Description
The vulnerability results from a failure in proper user authentication implementation on certain API endpoints. The flaw allows an unauthenticated remote attacker to bypass authentication mechanisms and impersonate a legitimate system user. For successful exploitation, the attacker needs to have knowledge of a valid user identity registered in the system. Once exploited, the vulnerability enables the attacker to execute privileged actions on behalf of the impersonated user, completely compromising the confidentiality, integrity, and availability of the affected device, as well as allowing unauthorized access to the management and configuration interfaces of the Industrial Edge ecosystem.
Affected systems
- Industrial Edge Device Kit – arm64: V1.5 through V1.23 (all versions), V1.24 (versions prior to V1.24.2), and V1.25 (versions prior to V1.25.1)
- Industrial Edge Device Kit – x86-64: V1.5 through V1.23 (all versions), V1.24 (versions prior to V1.24.2), and V1.25 (versions prior to V1.25.1)
- Industrial Edge Cloud Device (IECD): versions prior to V1.24.2
- Industrial Edge Own Device (IEOD): versions prior to V1.24.2
- Industrial Edge Virtual Device (IEVD): versions prior to V1.24.2
- SCALANCE LPE9413 and LPE9433: versions prior to V2.2
- SIMATIC HMI MTP (700, 1000, 1200, 1500, 1900, and 2200 Unified Comfort Panel series): versions prior to V21
- SIMATIC IOT2050: versions prior to V1.25.1
- SIMATIC IPC BX-39A, BX-59A, IPC127E, IPC227E, IPC227G, IPC427E, and IPC847E Industrial Edge Device: versions prior to V3.1
- SIMATIC Automation Workstation 19" and 24": all versions
Workarounds
The vendor recommends ensuring that network access to affected products is limited exclusively to trusted parties, implementing appropriate protection mechanisms at network and host level. To operate devices in a protected IT environment, the vendor advises configuring the environment according to Siemens operational guidelines for Industrial Security and following the recommendations in product manuals.
Solution
The vendor has made security updates available for several affected products. For Industrial Edge Device Kit V1.24, update to V1.24.2 or higher; for V1.25, update to V1.25.1 or higher. Industrial Edge Cloud Device, Own Device, and Virtual Device should be updated to V1.24.2 or higher. SCALANCE LPE9413 and LPE9433 should be updated to V2.2 or higher. SIMATIC HMI MTP panels should be updated to V21 or higher. SIMATIC IOT2050 should be updated to V1.25.1 or higher. SIMATIC IPC Industrial Edge devices should be updated to V3.1 or higher. For products where fixes are not available, including versions V1.5 to V1.23 of Industrial Edge Device Kit and SIMATIC Automation Workstation, the vendor is preparing fixed versions and recommends applying mitigation measures until updates are made available.
Primary and secondary sources
Festo Firmware
Description
The vulnerability stems from the implementation of an undocumented protocol that allows remote access without authentication to critical device functions. The proprietary Festo Generic Multicast (FGMC) protocol enables an unauthenticated remote attacker to send specific UDP messages to the multicast group 239.255.2.3 on port 10002, executing sensitive commands such as device reboot and configuration modification. Successful exploitation of the flaw results in complete loss of confidentiality, integrity, and availability of affected systems, allowing any user on the network to assume control of programmable logic controllers without requiring credentials or user interaction.
Affected systems
- Bus Module CPX-E-EP (all versions)
- Bus Node CPX-FB (models 32, 33, 36, 37, 39, 40, 43), CPX-M-FB (models 34, 35, 45)
- Control Block CPX-CEC-M1-V3, CPX-FEC-1-IE
- Controller CECC-X-M1, CECC-LK, CECC-D, CECC-S, CMXH-ST2-C5-7-DIOP
- Servo CMMT-AS (models C2, C4, C5, C7, C8 in various P3-MP, P3-EP, P3-PN configurations)
- Motor Controller CMMP-AS (models C5, C8, C10, C15, C18), CMMO-ST-C5-1-DIOP
- Integrated Drive EMCA-EC-67
- Compact Vision System SBOI-Q, SBOC-M
- Interface CTEU-EP, CPX-AP-I-PN-M12
- Other Festo products that use the FGMC protocol
Workarounds
The vendor recommends minimizing and protecting network access to connected devices using updated techniques and processes. For secure operation, recommendations in product manuals should be followed and supported protocols and features in the Festo Field Device Tool or Festo Automation Suite should be observed. Users running communication on untrusted networks and requiring full protection should migrate to alternative solutions, such as running communication through VPN. Additionally, it is recommended to implement firewalls to protect and separate the control system network from other networks, limit physical and logical access to systems, use user and password management, enable encrypted communication, and apply updated virus detection solutions.
Solution
The vendor has updated the technical documentation in user manuals in the next product version to address this issue. For many affected products, there is no forecast for firmware correction, with complete resolution to be implemented in the next hardware generation. Organizations should prioritize implementing recommended workarounds, especially network segmentation and VPN use, until replacement equipment becomes available.
Primary and secondary sources
Hitachi Energy Asset Suite
Description
The vulnerability resides in the third-party Jasper Report component integrated into Asset Suite, specifically in the Jaspersoft library. A Java deserialization flaw allows externally supplied data to be improperly handled by the system. An attacker can exploit this weakness by sending specially crafted report data that, when deserialized by the application, enables remote arbitrary code execution on the server hosting Asset Suite. Successful exploitation grants the attacker complete control over the affected system, compromising the confidentiality, integrity, and availability of assets managed by the platform, which is widely used in the energy sector for enterprise asset management in critical industrial environments.
Affected systems
- Hitachi Energy Asset Suite: versions 9.7 and earlier
Workarounds
The vendor recommends restricting the loading of external custom reports created by end users, exclusively allowing trusted Jasper reports generated by the system administrator. Additionally, general mitigation factors should be applied including network segmentation, firewall protections, and secure remote access measures. Process control systems should be physically protected against direct access by unauthorized personnel, should not have direct connections to the Internet, and should be separated from other networks by means of a firewall system with minimum number of exposed ports.
Solution
The vendor has made a security fix available through the update to Asset Suite version 9.8, which should be applied as a priority to completely eliminate the vulnerability. Organizations should perform adequate impact and risk assessment before implementing defense measures.
Primary and secondary sources
WHILL Model C2 and Model F
Description
The vulnerability results from the absence of adequate authentication mechanisms in the Bluetooth connections of mobility devices. The flaw allows an attacker within Bluetooth wireless communication range, approximately 9 meters, to pair their device with the electric wheelchair or power chair without providing credentials or requiring any type of interaction from the legitimate user. Once the unauthorized connection is established, the attacker can issue directional movement commands, override speed restrictions configured for user safety, manipulate device configuration profiles, and remotely control critical chair functions. Successful exploitation poses a direct risk to the physical safety of users, who are often people with reduced mobility in home environments, healthcare institutions, and public spaces.
Affected systems
- WHILL Model C2 Electric Wheelchair (all versions)
- WHILL Model F Power Chair (all versions)
Workarounds
Users should minimize network exposure of all control system devices, ensuring they are not accessible from the Internet. Bluetooth connectivity should be limited when companion applications are not being actively used. Healthcare institutions should review locations where these chairs are deployed and implement practical protections, such as restricting unauthorized access near patient areas, to reduce the risk of short-range Bluetooth attacks. When remote access is necessary, use more secure methods such as virtual private networks, recognizing that VPNs may have vulnerabilities and should be updated to the most recent version available.
Solution
WHILL Inc. deployed fixes on December 29, 2025 that include: implementation of safeguard in wheelchair firmware to prevent unauthorized modification of speed profiles from the mobile application; restriction of unlock commands during movement, blocking unlock commands issued from both the mobile application and smart key while the chair is in motion. Organizations should conduct adequate impact analysis and risk assessment before deploying defensive measures. Users should contact WHILL Inc. directly for specific guidance on mitigation and firmware updates.
Primary and secondary sources
RUGGEDCOM APE1808 Devices
Description
A vulnerability in Nozomi Guardian/CMC affects Siemens devices. The stored Cross-Site Scripting vulnerability was discovered in the "Reports" functionality due to inadequate validation of input parameters. An authenticated user with report privileges can define a malicious report containing a JavaScript payload, or a victim can be socially engineered to import a malicious report template. When the victim views or imports the report, the malicious script executes in the browser, allowing the attacker to perform unauthorized actions on behalf of the victim. Exploitation enables application data modification, system availability disruption, and access to limited sensitive information. The flaw requires authentication to be exploited.
Affected systems
- RUGGEDCOM APE1808: all versions
Workarounds
As a general security measure, it is recommended to protect network access to affected devices with appropriate mechanisms, configure the environment according to Siemens operational guidelines for industrial security, and follow product manual recommendations.
Solution
Siemens is preparing fixed versions and recommends that users contact customer support to receive information about patches and updates.
Primary and secondary sources
TeleControl Server Basic
Description
The affected application contains a local privilege escalation vulnerability that allows an attacker to execute arbitrary code with elevated privileges. The flaw stems from the execution of processes with unnecessary permissions, enabling adversaries to leverage this improper configuration to elevate their permissions. The vulnerability presents low attack complexity and does not require user interaction, making it particularly dangerous.
Affected systems
- TeleControl Server Basic: all versions prior to V3.1.2.4
Workarounds
As a general security measure, it is recommended to protect network access to affected devices with appropriate mechanisms, restrict physical access to systems, configure the environment according to Siemens operational guidelines for industrial security, and follow product manual recommendations.
Solution
Siemens has made the fixed version V3.1.2.4 of TeleControl Server Basic available. Users should update immediately to this version or later.
Primary and secondary sources
CODESYS Control Runtime
Description
The CODESYS Control runtime system contains memory access functions that allow PLC application code to read or write memory beyond the boundaries of allocated data areas. The flaw enables PLC programmers who have successfully authenticated to execute PLC application code capable of accessing all RAM memory of the CODESYS Control runtime process. Exploitation allows attackers to modify the application code itself or read and write sensitive data from the runtime process. The vulnerability affects a wide range of Schneider Electric products that incorporate the CODESYS runtime system, including Modicon programmable controllers and HMISCU devices.
Affected systems
- HMISCU Controller
- Modicon Controller M241, M251, M258, M262, M218
- Modicon Controller LMC058, LMC078
- PacDrive 3 Controllers: LMC Eco/Pro/Pro2
- SoftSPS embedded in EcoStruxure Machine Expert
- Vijeo Designer embedded in EcoStruxure Machine Expert
- Harmony (Formerly Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU series
- Easy Harmony HMIET6/HMIFT6
- Magelis HMIGXU series
- Easy Modicon M310
- Magelis XBT series
Workarounds
Ensure the use of user and password management features, which are enabled by default and require strong password creation at first use. Enable optional "Implicit Checks" in logic applications. Avoid using POINTER data type and MEMMOVE instructions, especially with untrusted inputs. Use controllers and devices only in a protected environment to minimize network exposure. Use firewalls to protect and separate the control system network from other networks. Restrict access to programming ports, typically UDP/1740, TCP/11740, TCP/1105, and TCP/484. Use VPN tunnels if remote access is necessary. Limit access to development and control systems by physical means and operating system features. Protect both systems using updated malware protection.
Solution
Schneider Electric has made fixes available for several affected products. For Modicon M241, M251, and M262 controllers, update to Machine Expert v2.2 or later through the Schneider Electric Software Update application. For PacDrive 3 LMC Eco/Pro/Pro2 controllers, update to Machine Expert v2.2. For HMISCU devices, update to Vijeo Designer v6.3.1 or later. The SoftSPS component has been removed from Machine Expert v2.2. Modicon M218 and LMC078 controllers have reached end of life and will not receive fixes, with migration recommended to Modicon Easy M200, M241, or M262. For Magelis XBT series products that have reached end of commercialization, migration to HMIGTO/HMIGTU/HMIGK is recommended.
Primary and secondary sources
Verve Asset Manager
Description
A security flaw was discovered in the Ansible playbook component of Verve Asset Manager, resulting from incorrect storage of unencrypted sensitive information during playbook execution. The vulnerability allows attackers with system access to obtain credentials and confidential data stored in cleartext, compromising the security of the OT cybersecurity platform. Exploitation can result in unauthorized access to industrial systems managed by the platform, compromise of administration credentials, and exposure of security configurations.
Affected systems
- Rockwell Automation Verve Asset Manager: versions 1.33, 1.34, 1.35, 1.36, 1.37, 1.38, 1.39, 1.40, 1.41, 1.41.1, 1.41.2, and 1.41.3
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Rockwell Automation fixed the vulnerability in version 1.42 of Verve Asset Manager. The affected component became optional since version 1.36, reducing exposure in newer installations. Rockwell Automation recommends updating to the most recent version available immediately.
Primary and secondary sources
SIMATIC ET and SIPLUS
Description
Affected devices do not adequately handle S7 protocol session disconnection requests. When receiving a valid S7 disconnection request (COTP DR TPDU) on TCP port 102, devices enter an improper session state, resulting in uncontrolled resource consumption. Exploitation allows attackers to cause a denial of service condition without requiring credentials or user interaction, rendering the device unresponsive until a power cycle is performed to restore normal operation.
Affected systems
- SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0): all versions
- SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0): all versions equal to or later than V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0, 6AG1155-5AA00-7AC0): all versions equal to or later than V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0): all versions equal to or later than V4.2.0
- SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0): all versions prior to V6.0.1
- SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0): all versions equal to or later than V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0, 6AG1155-6AU01-7CN0): all versions equal to or later than V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0): all versions equal to or later than V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0): all versions equal to or later than V4.2.0
- SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0): all versions prior to V4.2.2
- SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0): all versions
- SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0): all versions prior to V6.0.0
- SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0): all versions prior to V6.0.0
Workarounds
Siemens recommends restricting network access where S7 communication messages are exchanged. Additionally, it is necessary to implement filtering of port 102 on devices to accept only connections from/to IP addresses of trusted machines, using an external firewall.
Solution
Siemens has made firmware updates available for some affected products. Users should update to specific fixed versions: IM 155-6 PN HA to V1.3 or later, IM 155-6 PN R1 to V6.0.1 or later, IM 155-6 PN/3 HF to V4.2.2 or later, and PN/PN Couplers to V6.0.0 or later. For products where no fix is planned, immediately apply the recommended workarounds.
Primary and secondary sources
Contexto
Esta es la Notificación de Vulnerabilidades (NDV) correspondiente al mes de enero de 2026. En este documento, producido por el equipo de Inteligencia de Amenazas Cibernéticas de SEK, se listan las principales vulnerabilidades catalogadas en el último mes.
En nuestro análisis, priorizamos las vulnerabilidades críticas y altas presentes en productos y tecnologías más relevantes y utilizados en la industria. Cabe señalar que este es un documento dirigido a la comunidad de ciberseguridad en su conjunto. Para un trabajo más específico, recomendamos la contratación de nuestro servicio de gestión de vulnerabilidades, cuyo enfoque está en la detección y mitigación de vulnerabilidades encontradas en todo el parque de nuestros clientes de forma personalizada.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
AVEVA Process Optimization
Siemens Industrial Edge
Festo Firmware
Hitachi Energy Asset Suite
WHILL Sillas de Ruedas Eléctricas
Siemens RUGGEDCOM APE1808
Siemens TeleControl Server
CODESYS Runtime - Schneider
Rockwell Verve Asset Manager
Siemens SIMATIC ET 200
THINK AHEAD, ACT NOW.
AVEVA Process Optimization
Descripción
La vulnerabilidad resulta de una falla de inyección de código en la API del producto que permite a un atacante no autenticado ejecutar código malicioso remotamente. La explotación exitosa posibilita la obtención de privilegios de sistema operativo a través del servicio taoimr, concediendo control total sobre el Model Application Server. El atacante puede comprometer la integridad, confidencialidad y disponibilidad del sistema afectado, ejecutando comandos arbitrarios con privilegios elevados, sin necesidad de autenticación previa o interacción del usuario.
Sistemas afectados
- AVEVA Process Optimization (anteriormente ROMeo) 2024.1 y todas las versiones anteriores
Remediaciones de contorno
El fabricante recomienda las siguientes medidas temporales hasta que la actualización de seguridad pueda ser aplicada: configurar reglas de firewall a nivel de host o red para restringir el servicio taoimr a aceptar tráfico exclusivamente de fuentes confiables, considerando que por defecto el producto escucha en los puertos 8888/8889 con TLS; aplicar listas de control de acceso a las carpetas de instalación y datos, limitando permisos de escritura solo a usuarios autorizados; y mantener una cadena de custodia confiable sobre los archivos de proyecto durante creación, modificación, distribución, backups y uso.
Solución
El fabricante ha disponibilizado corrección de seguridad mediante la actualización a AVEVA Process Optimization 2025 o versión superior, que debe ser aplicada prioritariamente para eliminar completamente la vulnerabilidad.
Fuentes primarias y secundarias
Siemens Industrial Edge Device Kit y Devices
Descripción
La vulnerabilidad resulta de una falla en la aplicación adecuada de la autenticación de usuarios en determinados endpoints de API. La falla permite que un atacante remoto no autenticado evite los mecanismos de autenticación y se haga pasar por un usuario legítimo del sistema. Para explotación exitosa, el atacante necesita tener conocimiento de la identidad de un usuario válido registrado en el sistema. Una vez explotada, la vulnerabilidad posibilita al atacante ejecutar acciones privilegiadas en nombre del usuario personificado, comprometiendo completamente la confidencialidad, integridad y disponibilidad del dispositivo afectado, además de permitir acceso no autorizado a las interfaces de gestión y configuración del ecosistema Industrial Edge.
Sistemas afectados
- Industrial Edge Device Kit – arm64: V1.5 hasta V1.23 (todas las versiones), V1.24 (versiones anteriores a V1.24.2) y V1.25 (versiones anteriores a V1.25.1)
- Industrial Edge Device Kit – x86-64: V1.5 hasta V1.23 (todas las versiones), V1.24 (versiones anteriores a V1.24.2) y V1.25 (versiones anteriores a V1.25.1)
- Industrial Edge Cloud Device (IECD): versiones anteriores a V1.24.2
- Industrial Edge Own Device (IEOD): versiones anteriores a V1.24.2
- Industrial Edge Virtual Device (IEVD): versiones anteriores a V1.24.2
- SCALANCE LPE9413 y LPE9433: versiones anteriores a V2.2
- SIMATIC HMI MTP (series 700, 1000, 1200, 1500, 1900 y 2200 Unified Comfort Panel): versiones anteriores a V21
- SIMATIC IOT2050: versiones anteriores a V1.25.1
- SIMATIC IPC BX-39A, BX-59A, IPC127E, IPC227E, IPC227G, IPC427E e IPC847E Industrial Edge Device: versiones anteriores a V3.1
- SIMATIC Automation Workstation 19" y 24": todas las versiones
Remediaciones de contorno
El fabricante recomienda garantizar que el acceso de red a los productos afectados sea limitado exclusivamente a partes confiables, implementando mecanismos apropiados de protección a nivel de red y host. Para operar los dispositivos en un ambiente de TI protegido, el fabricante orienta configurar el ambiente de acuerdo con las directrices operacionales de Siemens para Seguridad Industrial y seguir las recomendaciones en los manuales de los productos.
Solución
El fabricante ha disponibilizado actualizaciones de seguridad para diversos productos afectados. Para Industrial Edge Device Kit V1.24, actualizar a V1.24.2 o superior; para V1.25, actualizar a V1.25.1 o superior. Industrial Edge Cloud Device, Own Device y Virtual Device deben ser actualizados a V1.24.2 o superior. SCALANCE LPE9413 y LPE9433 deben ser actualizados a V2.2 o superior. Paneles SIMATIC HMI MTP deben ser actualizados a V21 o superior. SIMATIC IOT2050 debe ser actualizado a V1.25.1 o superior. Dispositivos SIMATIC IPC Industrial Edge deben ser actualizados a V3.1 o superior. Para productos donde correcciones no están disponibles, incluyendo versiones V1.5 a V1.23 del Industrial Edge Device Kit y SIMATIC Automation Workstation, el fabricante está preparando versiones corregidas y recomienda aplicar las medidas de mitigación hasta que las actualizaciones sean disponibilizadas.
Fuentes primarias y secundarias
Festo Firmware
Descripción
La vulnerabilidad resulta de la implementación de un protocolo no documentado que permite acceso remoto sin autenticación a funciones críticas de los dispositivos. El protocolo propietario Festo Generic Multicast (FGMC) posibilita que un atacante remoto no autenticado envíe mensajes UDP específicos al grupo multicast 239.255.2.3 en el puerto 10002, ejecutando comandos sensibles como reinicialización de dispositivos y modificación de configuraciones. La explotación exitosa de la falla resulta en pérdida completa de confidencialidad, integridad y disponibilidad de los sistemas afectados, permitiendo que cualquier usuario en la red asuma control de los controladores lógicos programables sin necesidad de credenciales o interacción del usuario.
Sistemas afectados
- Bus Module CPX-E-EP (todas las versiones)
- Bus Node CPX-FB (modelos 32, 33, 36, 37, 39, 40, 43), CPX-M-FB (modelos 34, 35, 45)
- Control Block CPX-CEC-M1-V3, CPX-FEC-1-IE
- Controller CECC-X-M1, CECC-LK, CECC-D, CECC-S, CMXH-ST2-C5-7-DIOP
- Servo CMMT-AS (modelos C2, C4, C5, C7, C8 en diversas configuraciones P3-MP, P3-EP, P3-PN)
- Motor Controller CMMP-AS (modelos C5, C8, C10, C15, C18), CMMO-ST-C5-1-DIOP
- Integrated Drive EMCA-EC-67
- Compact Vision System SBOI-Q, SBOC-M
- Interface CTEU-EP, CPX-AP-I-PN-M12
- Demás productos Festo que utilizan el protocolo FGMC
Remediaciones de contorno
El fabricante recomienda minimizar y proteger el acceso de red a los dispositivos conectados utilizando técnicas y procesos actualizados. Para operación segura, deben seguirse las recomendaciones en los manuales de los productos y observados los protocolos y recursos soportados en el Festo Field Device Tool o Festo Automation Suite. Usuarios que ejecutan comunicación en redes no confiables y necesitan protección completa deben migrar a soluciones alternativas, como ejecutar la comunicación a través de VPN. Adicionalmente, se recomienda implementar firewalls para proteger y separar la red del sistema de control de otras redes, limitar el acceso físico y lógico a los sistemas, utilizar gestión de usuarios y contraseñas, activar comunicación cifrada y aplicar soluciones actualizadas de detección de virus.
Solución
El fabricante actualizó la documentación técnica de los manuales de usuario en la próxima versión del producto para abordar esta cuestión. Para muchos productos afectados, no hay previsión de corrección vía firmware, siendo que la resolución completa será implementada en la próxima generación de hardware. Las organizaciones deben priorizar la implementación de las remediaciones de contorno recomendadas, especialmente segmentación de red y uso de VPN, hasta que equipos sustitutos estén disponibles.
Fuentes primarias y secundarias
Hitachi Energy Asset Suite
Descripción
La vulnerabilidad reside en el componente de terceros Jasper Report integrado al Asset Suite, específicamente en la biblioteca Jaspersoft. Una falla de deserialización Java permite que datos proporcionados externamente sean manipulados de forma inadecuada por el sistema. Un atacante puede explotar esta debilidad enviando datos de reporte especialmente construidos que, al ser deserializados por la aplicación, posibilitan la ejecución arbitraria de código remotamente en el servidor que hospeda el Asset Suite. La explotación exitosa concede al atacante control completo sobre el sistema afectado, comprometiendo confidencialidad, integridad y disponibilidad de los activos gestionados por la plataforma, que es ampliamente utilizada en el sector de energía para gestión de activos corporativos en ambientes industriales críticos.
Sistemas afectados
- Hitachi Energy Asset Suite: versiones 9.7 y anteriores
Remediaciones de contorno
El fabricante recomienda restringir la carga de reportes personalizados externos creados por usuarios finales, permitiendo exclusivamente reportes Jasper confiables generados por el administrador del sistema. Adicionalmente, deben aplicarse factores generales de mitigación que incluyen segmentación de red, protecciones de firewall y medidas de acceso remoto seguro. Los sistemas de control de proceso deben ser físicamente protegidos contra acceso directo por personal no autorizado, no deben tener conexiones directas con Internet y deben ser separados de otras redes por medio de sistema de firewall con número mínimo de puertos expuestos.
Solución
El fabricante ha disponibilizado corrección de seguridad mediante la actualización a la versión 9.8 del Asset Suite, que debe ser aplicada prioritariamente para eliminar completamente la vulnerabilidad. Las organizaciones deben realizar evaluación adecuada de impacto y riesgo antes de implementar las medidas de defensa.
Fuentes primarias y secundarias
WHILL Model C2 y Model F
Descripción
La vulnerabilidad resulta de la ausencia de mecanismos de autenticación adecuados en las conexiones Bluetooth de los dispositivos de movilidad. La falla permite que un atacante dentro del alcance de la comunicación inalámbrica Bluetooth, aproximadamente 9 metros, empareje su dispositivo con la silla de ruedas eléctrica o silla de fuerza sin proporcionar credenciales o exigir cualquier tipo de interacción del usuario legítimo. Una vez establecida la conexión no autorizada, el atacante puede emitir comandos de movimiento direccional, sobrescribir restricciones de velocidad configuradas para seguridad del usuario, manipular perfiles de configuración del dispositivo y controlar remotamente las funciones críticas de la silla. La explotación exitosa representa riesgo directo a la seguridad física de los usuarios, que frecuentemente son personas con movilidad reducida en ambientes domésticos, instituciones de salud y espacios públicos.
Sistemas afectados
- WHILL Model C2 Electric Wheelchair (todas las versiones)
- WHILL Model F Power Chair (todas las versiones)
Remediaciones de contorno
Los usuarios deben minimizar la exposición de red de todos los dispositivos de sistema de control, asegurando que no sean accesibles por Internet. Se debe limitar la conectividad Bluetooth cuando las aplicaciones complementarias no estén siendo utilizadas activamente. Las instituciones de salud deben revisar los locales donde estas sillas son implantadas e implementar protecciones prácticas, como restringir el acceso no autorizado próximo a las áreas de pacientes, para reducir el riesgo de ataques Bluetooth de corto alcance. Cuando el acceso remoto sea necesario, utilizar métodos más seguros como redes privadas virtuales, reconociendo que las VPNs pueden tener vulnerabilidades y deben ser actualizadas a la versión más reciente disponible.
Solución
El fabricante WHILL implantó correcciones el 29 de diciembre de 2025 que incluyen: implementación de salvaguarda en el firmware de la silla de ruedas para prevenir modificación no autorizada de perfiles de velocidad desde la aplicación móvil; restricción de comandos de desbloqueo durante movimiento, bloqueando comandos de desbloqueo emitidos tanto desde la aplicación móvil como de la llave inteligente mientras la silla esté en movimiento. Las organizaciones deben realizar análisis adecuado de impacto y evaluación de riesgo antes de implantar las medidas defensivas. Los usuarios deben contactar a WHILL Inc. directamente para obtener orientaciones específicas sobre mitigación y actualizaciones de firmware.
Fuentes primarias y secundarias
RUGGEDCOM APE1808 Devices
Descripción
Una vulnerabilidad en Nozomi Guardian/CMC afectó dispositivos de Siemens. La vulnerabilidad de Cross-Site Scripting almacenado fue descubierta en la funcionalidad de "Reports" debido a la validación inadecuada de parámetros de entrada. Un usuario autenticado con privilegios de reporte puede definir un reporte malicioso conteniendo un payload JavaScript, o una víctima puede ser inducida por ingeniería social a importar un modelo de reporte malicioso. Cuando la víctima visualiza o importa el reporte, el script malicioso ejecuta en el navegador, permitiendo que el atacante realice acciones no autorizadas en nombre de la víctima. La explotación posibilita modificación de datos de la aplicación, interrupción de la disponibilidad del sistema y acceso a informaciones sensibles limitadas. La falla requiere autenticación para ser explotada.
Sistemas afectados
- RUGGEDCOM APE1808: todas las versiones
Remediaciones de contorno
Como medida general de seguridad, se recomienda proteger el acceso de red a los dispositivos afectados con mecanismos apropiados, configurar el ambiente conforme a las directrices operacionales de Siemens para seguridad industrial y seguir las recomendaciones de los manuales de los productos.
Solución
Siemens está preparando versiones corregidas y recomienda que los usuarios entren en contacto con el soporte al cliente para recibir informaciones sobre patches y actualizaciones.
Fuentes primarias y secundarias
TeleControl Server Basic
Descripción
La aplicación afectada contiene una vulnerabilidad de escalación local de privilegios que permite a un atacante ejecutar código arbitrario con privilegios elevados. La falla resulta de la ejecución de procesos con permisos innecesarios, posibilitando que adversarios aprovechen esa configuración inadecuada para elevar sus permisos. La vulnerabilidad presenta baja complejidad de ataque y no requiere interacción del usuario, tornándola particularmente peligrosa.
Sistemas afectados
- TeleControl Server Basic: todas las versiones anteriores a V3.1.2.4
Remediaciones de contorno
Como medida general de seguridad, se recomienda proteger el acceso de red a los dispositivos afectados con mecanismos apropiados, restringir el acceso físico a los sistemas, configurar el ambiente conforme a las directrices operacionales de Siemens para seguridad industrial y seguir las recomendaciones de los manuales de los productos.
Solución
Siemens ha disponibilizado la versión corregida V3.1.2.4 del TeleControl Server Basic. Los usuarios deben actualizar inmediatamente a esta versión o posterior.
Fuentes primarias y secundarias
CODESYS Control Runtime - Productos Schneider Electric
Descripción
El sistema de runtime CODESYS Control contiene funciones de acceso a la memoria que permiten al código de la aplicación PLC leer o escribir memoria más allá de los límites de las áreas de datos asignadas. La falla posibilita que programadores PLC que se hayan autenticado con éxito ejecuten código de aplicación PLC capaz de acceder toda la memoria RAM del proceso runtime CODESYS Control. La explotación permite que invasores modifiquen el propio código de la aplicación o lean y escriban datos sensibles del proceso runtime. La vulnerabilidad afecta una amplia gama de productos Schneider Electric que incorporan el sistema runtime CODESYS, incluyendo controladores programables Modicon y dispositivos HMISCU.
Sistemas afectados
- HMISCU Controller
- Modicon Controller M241, M251, M258, M262, M218
- Modicon Controller LMC058, LMC078
- PacDrive 3 Controllers: LMC Eco/Pro/Pro2
- SoftSPS embedded in EcoStruxure Machine Expert
- Vijeo Designer embedded in EcoStruxure Machine Expert
- Harmony (Formerly Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU series
- Easy Harmony HMIET6/HMIFT6 Magelis HMIGXU series
- Easy Modicon M310
- Magelis XBT series
Remediaciones de contorno
Garantizar el uso de recursos de gestión de usuarios y contraseñas, que están habilitados por defecto y exigen la creación de contraseña fuerte en el primer uso. Habilitar "Implicit Checks" opcionales en aplicaciones lógicas. Evitar el uso del tipo de datos POINTER e instrucciones MEMMOVE, especialmente en entradas no confiables. Utilizar controladores y dispositivos solo en ambiente protegido para minimizar la exposición de red. Usar firewalls para proteger y separar la red del sistema de control de otras redes. Restringir el acceso a los puertos de programación, típicamente UDP/1740, TCP/11740, TCP/1105 y TCP/484. Usar túneles VPN si acceso remoto es necesario. Limitar el acceso a los sistemas de desarrollo y control por medios físicos y recursos del sistema operativo. Proteger ambos sistemas usando protección contra malware actualizada.
Solución
Schneider Electric ha disponibilizado correcciones para diversos productos afectados. Para controladores Modicon M241, M251 y M262, actualizar a Machine Expert v2.2 o posterior a través de la aplicación Schneider Electric Software Update. Para controladores PacDrive 3 LMC Eco/Pro/Pro2, actualizar a Machine Expert v2.2. Para dispositivos HMISCU, actualizar a Vijeo Designer v6.3.1 o posterior. El componente SoftSPS fue removido del Machine Expert v2.2. Los controladores Modicon M218 y LMC078 alcanzaron el fin de vida y no recibirán correcciones, siendo recomendada la migración a Modicon Easy M200, M241 o M262. Para productos de la serie Magelis XBT que alcanzaron el fin de comercialización, se recomienda migración a HMIGTO/HMIGTU/HMIGK.
Fuentes primarias y secundarias
Rockwell Automation Verve Asset Manager
Descripción
Una falla de seguridad fue descubierta en el componente de playbook Ansible del Verve Asset Manager, resultante del almacenamiento incorrecto de informaciones sensibles no cifradas durante la ejecución de playbooks. La vulnerabilidad permite que atacantes con acceso al sistema obtengan credenciales y datos confidenciales almacenados en texto claro, comprometiendo la seguridad de la plataforma de ciberseguridad OT. La explotación puede resultar en acceso no autorizado a sistemas industriales gestionados por la plataforma, compromiso de credenciales de administración y exposición de configuraciones de seguridad.
Sistemas afectados
- Rockwell Automation Verve Asset Manager: versiones 1.33, 1.34, 1.35, 1.36, 1.37, 1.38, 1.39, 1.40, 1.41, 1.41.1, 1.41.2 y 1.41.3
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Rockwell Automation corrigió la vulnerabilidad en la versión 1.42 del Verve Asset Manager. El componente afectado se tornó opcional desde la versión 1.36, reduciendo la exposición en instalaciones más recientes. Rockwell Automation recomienda actualizar a la versión más reciente disponible inmediatamente.
Fuentes primarias y secundarias
Siemens SIMATIC y SIPLUS ET 200
Descripción
Los dispositivos afectados no tratan adecuadamente requisiciones de desconexión de sesión del protocolo S7. Al recibir una requisición de desconexión S7 válida (COTP DR TPDU) en el puerto TCP 102, los dispositivos entran en un estado de sesión inadecuado, resultando en consumo descontrolado de recursos. La explotación permite que atacantes causen condición de denegación de servicio sin necesidad de credenciales o interacción del usuario, tornando el dispositivo no responsivo hasta que un ciclo de energía sea ejecutado para restaurar la operación normal.
Sistemas afectados
- SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0): todas las versiones
- SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-7AC0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0): todas las versiones iguales o posteriores a V4.2.0
- SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0): todas las versiones
- SIMATIC ET 200SP IM 155-6 PN HA (incluyendo variantes SIPLUS): todas las versiones anteriores a V1.3
- SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0): todas las versiones anteriores a V6.0.1
- SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-7CN0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0): todas las versiones iguales o posteriores a V4.2.0
- SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0): todas las versiones iguales o posteriores a V4.2.0
- SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0): todas las versiones anteriores a V4.2.2
- SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0): todas las versiones
- SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0): todas las versiones anteriores a V6.0.0
- SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0): todas las versiones anteriores a V6.0.0
Remediaciones de contorno
Siemens recomienda restringir el acceso a la red donde mensajes de comunicación S7 son intercambiados. Además, es necesario implementar filtración del puerto 102 de los dispositivos para aceptar solo conexiones de/hacia direcciones IP de máquinas confiables, utilizando firewall externo.
Solución
Siemens ha disponibilizado actualizaciones de firmware para algunos productos afectados. Los usuarios deben actualizar a las versiones corregidas específicas: IM 155-6 PN HA para V1.3 o posterior, IM 155-6 PN R1 para V6.0.1 o posterior, IM 155-6 PN/3 HF para V4.2.2 o posterior, y PN/PN Couplers para V6.0.0 o posterior. Para productos en los cuales no hay corrección planeada, aplicar inmediatamente las remediaciones de contorno recomendadas.
Fuentes primarias y secundarias
Central de Conteúdos SEK
SEK Content Hub
Central de Contenidos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de Conteúdos