Resumen Ejecutivo y Evaluación de Riesgos de Vulnerabilidades en el Trio Q Radio de Schneider Electric
1. Resumen Ejecutivo
La empresa Schneider Electric ha identificado vulnerabilidades en su dispositivo Trio Q Radio de datos con licencia, con un CVSS V4 de 5.4, indicando atención a la baja complejidad de ataque. Las principales vulnerabilidades son el almacenamiento inseguro de información confidencial y la inicialización de recursos con valores por defecto inseguros.
2. Evaluación de Riesgos
La explotación de estas vulnerabilidades puede permitir acceso no autorizado a información confidencial, comprometiendo la integridad y la disponibilidad del dispositivo afectado.
3. Detalles Técnicos
3.1 Productos Afectados
El Trio Q Radio de datos con licencia en versiones anteriores a 2.7.2 es el único afectado.
3.2 Descripciones de Vulnerabilidades
-
CWE-922: Almacenamiento Inseguro de Información Confidencial
Se ha asignado CVE-2025-2440 a esta vulnerabilidad, que permite que un atacante con acceso físico ponga el dispositivo en modo de fábrica, logrando acceder a datos confidenciales. Se le ha otorgado una puntuación base CVSS v3.1 de 4.2 y CVSS V4 de 4.1. -
CWE-1188: Inicialización de un Recurso con un Predeterminado Inseguro
Se reporta también CVE-2025-2441, que puede resultar en pérdida de confidencialidad bajo el mismo modo de fábrica. Su puntuación es de 4.6 en CVSS v3.1 y de 4.1 en CVSS V4. - CWE-1188 (segundo caso)
CVE-2025-2442, presentado también en esta categoría, implica acceso no autorizado, comprometiendo la confidencialidad, integridad y disponibilidad. Esta vulnerabilidad tiene un CVSS v3.1 de 6.8 y un CVSS V4 de 5.4.
3.3 Antecedentes
Estas vulnerabilidades afectan sectores de infraestructura crítica, incluidos instalaciones comerciales y energía, en un contexto global. Schneider Electric tiene su sede en Francia y ha informado de estas vulnerabilidades a CISA.
4. Mitigaciones
Schneider Electric ha proporcionado varias opciones de mitigación:
-
Actualización de Firmware: Se recomienda actualizar a la versión v2.7.2 del firmware del Trio Q Radio, que corrige las vulnerabilidades. Las instrucciones para la descarga y verificación del firmware están disponibles en el manual de usuario.
- Medidas de Seguridad: Si no se aplica la actualización, se recomienda instalar el dispositivo en un lugar seguro para evitar el acceso físico no autorizado y confirmar el firmware cargado utilizando el hash proporcionado en las notas de la versión.
CISA ha sugerido a los usuarios tomar medidas proactivas para minimizar riesgos, realizar análisis de impacto y evaluar los riesgos antes de implementar defensas. Existe documentación adicional sobre prácticas recomendadas de defensa cibernética y mitigación en la página web de CISA.
5. Historial de Actualización
La información se actualizó por primera vez el 17 de abril de 2025, marcando la publicación inicial del documento sobre estas vulnerabilidades por parte de Schneider Electric.
Este resumen proporciona una visión concisa de las vulnerabilidades presentes en el Trio Q Radio de Schneider Electric, elusando la evaluación de riesgos y las recomendaciones para mitigar posibles ataques. Sin información actual sobre explotación pública, se subraya la importancia de aplicar las mitigaciones sugeridas y permanecer vigilante ante cualquier actividad maliciosa.