Resumen Ejecutivo
El aviso de seguridad detalla vulnerabilidades críticas en los productos de Kunbus Revolution Pi, que han sido clasificadas con un CVSS V4 de 9.3, lo que indica una alta gravedad. Estas vulnerabilidades permiten a atacantes evadir autenticación y ejecutar código malicioso a través de funciones críticas expuestas. Las fallas son especialmente graves debido a su baja complejidad de explotación y a la posibilidad de ser atacadas de forma remota.
Evaluación de Riesgos
La explotación exitosa de estas vulnerabilidades puede permitir accesos no autorizados y la ejecución de ataques en el lado del servidor. Esto implica que los atacantes pueden tomar control del sistema y realizar acciones maliciosas sin necesidad de autenticación adecuada.
Detalles Técnicos
Productos Afectados
Las versiones vulnerables de Kunbus Revolution Pi son:
- Revolution Pi OS Bookworm: Versiones hasta 01/2025.
- Revolution Pi Pictory: Versiones de 2.5.0 a 2.11.1.
Descripción de las Vulnerabilidades
-
Falta de Autenticación para Funciones Críticas (CWE-306)
- CVE-2025-24522: La versión hasta 01/2025 no tiene autenticación predeterminada en el servidor de nodo-rojo, permitiendo a un atacante remoto acceder sin credenciales. CVSS v3.1 es 10.0, y CVSS V4 es 9.3.
-
Autenticación Bypass (CWE-305)
- CVE-2025-32011: En versiones 2.5.0 a 2.11.1, se puede evitar la autenticación mediante un ataque de ruta transversal. CVSS v3.1 es 9.8, y CVSS V4 es 9.3.
-
Neutralización Inadecuada del Lado del Servidor (CWE-97)
- CVE-2025-35996: Las versiones 2.11.1 y anteriores son vulnerables a ataques XSS al permitir que un atacante almacene nombres de archivos que pueden ser ejecutados como scripts HTML. CVSS v3.1 es 9.0, y CVSS V4 es 8.5.
- Otra Neutralización Inadecuada del Lado del Servidor (CWE-97)
- CVE-2025-36558: Vulnerabilidad a ataques XSS mediante SSO_Token en versiones 2.11.1 y anteriores. CVSS v3.1 es 6.1, y CVSS V4 es 5.1.
Antecedentes
Estas vulnerabilidades son significativas para sectores de infraestructura crítica como energía y transporte, y afectan a una variedad de países. La empresa Kunbus tiene su sede en Alemania.
Investigación
Las vulnerabilidades fueron informadas a CISA por Adam Bromiley de Pen Test Partners, destacando su relevancia y la necesidad de acciones correctivas.
Mitigaciones
Kunbus ha sugerido las siguientes medidas para mitigar los riesgos:
- Actualizar Pictory a la versión 2.12: La actualización se puede realizar a través de la interfaz de usuario de administración.
- Activar la autenticación: Se recomienda seguir una guía proporcionada para asegurar la activación de esta función.
CISA también aconseja reducir la exposición de la red, asegurando que los dispositivos de control no sean accesibles desde Internet, y localizando sistemas detrás de firewalls. Para acceso remoto, se recomienda el uso de redes privadas virtuales (VPN).
Recomendaciones de CISA
CISA anima a implementar prácticas de ciberseguridad efectivas, realizar análisis de impacto y evaluaciones de riesgo, y seguir las mejores prácticas disponibles en su sitio web. Organizaciones que noten actividades maliciosas deben reportar a CISA para investigar posibles incidentes.
Historial de Actualización
- Fecha de Publicación: 1 de mayo de 2025.
Este aviso de vulnerabilidades subraya la importancia de la seguridad cibernética, especialmente en sistemas relacionados con infraestructura crítica, y destaca la necesidad de una respuesta proactiva ante posibles amenazas.