Kunbus GmbH Revolution pi | CISA

Resumen Ejecutivo

El aviso de seguridad detalla vulnerabilidades críticas en los productos de Kunbus Revolution Pi, que han sido clasificadas con un CVSS V4 de 9.3, lo que indica una alta gravedad. Estas vulnerabilidades permiten a atacantes evadir autenticación y ejecutar código malicioso a través de funciones críticas expuestas. Las fallas son especialmente graves debido a su baja complejidad de explotación y a la posibilidad de ser atacadas de forma remota.

Evaluación de Riesgos

La explotación exitosa de estas vulnerabilidades puede permitir accesos no autorizados y la ejecución de ataques en el lado del servidor. Esto implica que los atacantes pueden tomar control del sistema y realizar acciones maliciosas sin necesidad de autenticación adecuada.

Detalles Técnicos

Productos Afectados

Las versiones vulnerables de Kunbus Revolution Pi son:

  • Revolution Pi OS Bookworm: Versiones hasta 01/2025.
  • Revolution Pi Pictory: Versiones de 2.5.0 a 2.11.1.

Descripción de las Vulnerabilidades

  1. Falta de Autenticación para Funciones Críticas (CWE-306)

    • CVE-2025-24522: La versión hasta 01/2025 no tiene autenticación predeterminada en el servidor de nodo-rojo, permitiendo a un atacante remoto acceder sin credenciales. CVSS v3.1 es 10.0, y CVSS V4 es 9.3.
  2. Autenticación Bypass (CWE-305)

    • CVE-2025-32011: En versiones 2.5.0 a 2.11.1, se puede evitar la autenticación mediante un ataque de ruta transversal. CVSS v3.1 es 9.8, y CVSS V4 es 9.3.
  3. Neutralización Inadecuada del Lado del Servidor (CWE-97)

    • CVE-2025-35996: Las versiones 2.11.1 y anteriores son vulnerables a ataques XSS al permitir que un atacante almacene nombres de archivos que pueden ser ejecutados como scripts HTML. CVSS v3.1 es 9.0, y CVSS V4 es 8.5.
  4. Otra Neutralización Inadecuada del Lado del Servidor (CWE-97)
    • CVE-2025-36558: Vulnerabilidad a ataques XSS mediante SSO_Token en versiones 2.11.1 y anteriores. CVSS v3.1 es 6.1, y CVSS V4 es 5.1.

Antecedentes

Estas vulnerabilidades son significativas para sectores de infraestructura crítica como energía y transporte, y afectan a una variedad de países. La empresa Kunbus tiene su sede en Alemania.

Investigación

Las vulnerabilidades fueron informadas a CISA por Adam Bromiley de Pen Test Partners, destacando su relevancia y la necesidad de acciones correctivas.

Mitigaciones

Kunbus ha sugerido las siguientes medidas para mitigar los riesgos:

  • Actualizar Pictory a la versión 2.12: La actualización se puede realizar a través de la interfaz de usuario de administración.
  • Activar la autenticación: Se recomienda seguir una guía proporcionada para asegurar la activación de esta función.

CISA también aconseja reducir la exposición de la red, asegurando que los dispositivos de control no sean accesibles desde Internet, y localizando sistemas detrás de firewalls. Para acceso remoto, se recomienda el uso de redes privadas virtuales (VPN).

Recomendaciones de CISA

CISA anima a implementar prácticas de ciberseguridad efectivas, realizar análisis de impacto y evaluaciones de riesgo, y seguir las mejores prácticas disponibles en su sitio web. Organizaciones que noten actividades maliciosas deben reportar a CISA para investigar posibles incidentes.

Historial de Actualización

  • Fecha de Publicación: 1 de mayo de 2025.

Este aviso de vulnerabilidades subraya la importancia de la seguridad cibernética, especialmente en sistemas relacionados con infraestructura crítica, y destaca la necesidad de una respuesta proactiva ante posibles amenazas.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Nuestros beneficios:
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita