Resumen Ejecutivo
La vulnerabilidad identificada en los productos de Hitachi Energy, específicamente en las series RELION 670/650/SAM600-II IO, es un caso de desbordamiento de búfer clásico que se debe a la falta de validación de tamaño en la entrada de los mensajes de GOOSE. Esta vulnerabilidad, que se clasifica con un grado de riesgo de CVSS V4 de 7.1, puede permitir errores de reinicio del dispositivo, provocando condiciones de denegación de servicio. La complejidad del ataque se considera baja.
Evaluación de Riesgos
La explotación exitosa de esta vulnerabilidad puede reiniciar el dispositivo afectado, lo que resultaría en una denegación de servicio. Esto plantea un riesgo considerable para los ambientes donde estos dispositivos son críticos para las operaciones de energía.
Detalles Técnicos
Productos Afectados
Los productos que se ven afectados incluyen diversas versiones del equipo RELION 670/650/SAM600-IO entre las versiones 2.2.0.X y 2.2.5.6, excluyendo versiones específicas que no están afectadas.
Descripción de la Vulnerabilidad
La vulnerabilidad CWE-120 implica que, cuando se envían valores fuera de rango desde los bloques de recepción de GOOSE, el dispositivo puede reiniciarse. Se le ha asignado el identificador CVE-2023-4518, y se ha evaluado su intensidad tanto en CVSS V3 (6.5) como en CVSS V4 (7.1).
Antecedentes
La vulnerabilidad afecta a sectores de infraestructura crítica en la energía, con una presencia global. La sede de Hitachi Energy se encuentra en Suiza.
Investigador
El equipo de PSIRT de Hitachi Energy notificó esta vulnerabilidad a la CISA (Cybersecurity and Infrastructure Security Agency).
Mitigaciones
Hitachi Energy ha propuesto varias soluciones y mitigaciones que los usuarios pueden aplicar:
- Usuarios de RELION 670 versiones de 2.2.2.x a 2.2.2.6 deben actualizar a 2.2.2.6.
- Usuarios de RELION 670 versiones de 2.2.3.x a 2.2.3.7 deben actualizar a 2.2.3.7.
- Usuarios de RELION 670/650 versiones de 2.2.4.x a 2.2.4.4 deben actualizar a 2.2.4.4.
- Todos los usuarios de versiones de 2.2.0 y 2.2.1 deben aplicar mitigaciones generales.
Se sugiere a los usuarios consultar el aviso de ciberseguridad específico (Hitachi Energy PSIRS Advisory 8DBD000170) para medidas de seguridad.
Recomendaciones de CISA
CISA recomienda implementar medidas defensivas como:
- Minimizar la exposición de la red y asegurar que los dispositivos de control no sean accesibles desde Internet.
- Aislar los sistemas de control detrás de firewalls y separarlos de las redes comerciales.
- Utilizar VPNs para acceso remoto seguro, actualizando estos sistemas regularmente.
CISA también destaca la importancia de llevar a cabo un análisis de impacto y una evaluación de riesgos antes de aplicar medidas defensivas.
Además, se proporcionan recursos sobre mejores prácticas de ciberseguridad y defensa contra ataques de ingeniería social. CISA enfatiza que actualmente no hay informes de explotación pública conocida de esta vulnerabilidad.
Historial de Actualización
La información sobre esta vulnerabilidad fue publicada inicialmente el 13 de mayo de 2025 como parte del aviso de Hitachi Energy Advisory 8DBD000170.
En conclusión, es crucial que las organizaciones con sistemas que incluyan los productos afectados adopten medidas de mitigación seguras y se mantengan informadas sobre las mejores prácticas en ciberseguridad.