Resumen Ejecutivo sobre Vulnerabilidades en Productos de Rockwell Automation
Las vulnerabilidades detectadas en los productos de Rockwell Automation, específicamente aquellos que operan con VMware, presentan un grave riesgo de seguridad, con un puntaje asociado de 9.4 en la escala CVSS V4. Estas vulnerabilidades, de baja complejidad de ataque y con exploits públicos disponibles, afectan a diversas plataformas dentro del centro industrial de datos (IDC), el dispositivo Versavirtual Appliaance (VVA) y los servicios administrados por detección de amenazas (TDMS).
Evaluación de Riesgos
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante con privilegios administrativos ejecutar código malicioso, comprometiendo así la integridad de los sistemas afectados.
Detalles Técnicos
Productos Afectados
Las siguientes versiones de productos Rockwell Automation con VMware están en riesgo:
- Centro de Datos Industriales (IDC) con VMware: Generaciones 1 a 4
- Versavirtual Appliance (VVA) con VMware: Series A y B
- Servicios Administrados por Detección de Amenazas (TDMS): Todas las versiones
- Servicio de Protección de Punto Final con RA Proxy: Todas las versiones
- Soluciones Integradas con VMware: Todas las versiones
Descripción de Vulnerabilidades
-
Condición de carrera de tiempo de uso (TCTOU) CWE-367: Esta vulnerabilidad permite a un atacante con privilegios administrativos ejecutar código dentro del proceso VMX. Se ha asignado el CVE-2025-22224 a esta vulnerabilidad, con una puntuación CVSS V4 de 9.4.
-
Condición de escritura arbitraria (CWE-123): Similarmente, esto permite a un actor con privilegios ejecutar código que puede llevar a un escape de la arena. Se asignó el CVE-2025-22225, con una puntuación CVSS V4 de 9.3.
- Lectura fuera de límites (CWE-125): Esta vulnerabilidad permite que un atacante filtre la memoria del proceso VMX, siendo asignado el CVE-2025-22226 a esta problemática, con una puntuación CVSS V4 de 8.2.
Contexto
Estas vulnerabilidades afectan a sectores de infraestructura crítica, específicamente la fabricación, y están desplegadas a nivel mundial. La sede de Rockwell Automation está situada en Estados Unidos.
Mitigaciones
Rockwell Automation se compromete a comunicarse con los usuarios afectados para implementar planes de remediación. Para aquellos sin un contrato de servicios administrados, se les aconseja seguir las mejores prácticas de seguridad.
CISA sugiere que los usuarios minimicen la exposición de sus redes para sistemas de control, utilizando firewalls para aislar estos sistemas de redes comerciales. Además, se recomienda el uso de conexiones seguras como VPN, aunque se debe tener presente que estas tienen vulnerabilidades y deben mantenerse actualizadas.
CISA también enfatiza la importancia de realizar análisis de impacto y evaluaciones de riesgo antes de implementar medidas defensivas. Existen recursos disponibles en su página web que contienen mejores prácticas para reforzar la ciberseguridad de los sistemas de control industrial (ICS).
Además, las organizaciones deben reportar cualquier actividad sospechosa y tomar medidas para prevenir ataques de ingeniería social, ya que estas vulnerabilidades no son explotables de forma remota.
Historial de Actualización
Este informe fue publicado inicialmente el 18 de marzo de 2025, marcando un hito en la divulgación de las vulnerabilidades detectadas y las recomendaciones de mitigación.
Estas acciones son cruciales para proteger a las organizaciones de ataques que podrían comprometer la seguridad de los sistemas de control y la integridad de sus operaciones.