Resumen ejecutivo
CVSS V4: 9.3
Explotabilidad: Remota/baja complejidad de ataque
Proveedor: Automatización de Rockwell
Equipo afectado: 95057C-FTHTWXCT11
Vulnerabilidad: Restricción inadecuada de referencia de entidad externa XML
Evaluación de riesgos
La explotación de esta vulnerabilidad permite a un atacante llevar a cabo ataques basados en XXE en aplicaciones que aceptan archivos de configuración de Log4Net maliciosos. Esto presenta un riesgo significativo, dado que puede comprometer la seguridad del sistema.
Detalles técnicos
Productos afectados
Las versiones de Rockwell Automation FactoryTalk Historian Thingworx afectadas son:
- 95057C-FTHTWXCT11: Versiones hasta v4.02.00
Descripción de la vulnerabilidad
La vulnerabilidad se clasifica como CWE-611: Restricción inadecuada de la referencia de entidad externa XML. Las versiones de Apache Log4Net anteriores a 2.0.10 no deshabilitan las entidades externas XML, lo que facilita ataques XXE en aplicaciones que aceptan archivos de configuración LOG4NET maliciosos. Se le ha asignado el CVE-2018-1285, con un puntaje CVSS base v3.1 de 9.8 y un puntaje CVSS V4 de 9.3.
Antecedentes
La vulnerabilidad afecta a sectores de infraestructura crítica, especialmente en la fabricación crítica. Se reporta a nivel mundial, con sede en los Estados Unidos.
Investigador
Rockwell Automation notificó esta vulnerabilidad a CISA.
Mitigaciones
Rockwell Automation ha lanzado una actualización que corrige esta vulnerabilidad:
- 95057C-FTHTWXCT11: Versiones v5.00.00 y posteriores.
Se recomienda a los usuarios que sigan las sugerencias de Mitigación de Seguridad proporcionadas por Rockwell Automation, como las mejores prácticas para minimizar riesgos en sistemas de control de automatización industrial. Para más detalles, se puede consultar la Asesoría de Seguridad SD1728 de Rockwell.
Recomendaciones de CISA
CISA sugiere que los usuarios tomen las siguientes medidas defensivas:
- Minimizar la exposición de la red: Asegurar que las redes y sistemas de control no sean accesibles desde Internet.
- Aislamiento de redes de sistemas de control: Localizar redes y dispositivos remotos detrás de firewall para aislarlos de redes empresariales.
- Acceso remoto seguro: Utilizar VPNs, reconociendo sus posibles vulnerabilidades y asegurando que se mantengan actualizadas.
CISA enfatiza la importancia de realizar un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas. También proporciona una sección de Prácticas recomendadas de seguridad para sistemas de control en su web, disponible en cisa.gov/ics, junto con varios productos que abordan las mejores prácticas de defensa cibernética, incluida la Ciberseguridad de los sistemas de control industrial.
CISA invita a las organizaciones a adoptar estrategias recomendadas para la defensa proactiva de activos en sistemas de control industrial. También se disponible información técnica adicional a través de ICS-TIP-12-146-01B, que aborda estrategias de detección ante ciberataques.
Las organizaciones que sospechen de actividad maliciosa deben seguir los procedimientos internos establecidos e informar a CISA para el seguimiento de incidentes. En actualidad, no se ha reportado explotación pública conocida específicamente relacionada con esta vulnerabilidad.
Historial de actualización
22 de mayo de 2025: Publicación inicial de Rockwell Automation SD1728.