Uno de los problemas más recientes identificado es una vulnerabilidad en productos de Siemens que utilizan el Mendix Runtime, con una puntuación CVSS V4 de 6.9, indicando que es explotable a través de métodos remotos con baja complejidad de ataque. Esta vulnerabilidad específica se conoce como «discrepancia de respuesta observable», que permite a un atacante remoto no autenticado enumerar entidades válidas y nombres de atributos de aplicaciones basadas en el Mendix Runtime.
Los productos afectados incluyen diferentes versiones del Mendix Runtime: V10 (versiones anteriores a la 10.21), V8, V9, V10.6, V10.12 y V10.18, siendo todos susceptibles a esta vulnerabilidad. El CVE asociado es CVE-2025-30280, que ha obtenido una puntuación base CVSS V3 de 5.3 además de su calificación CVSS V4.
La vulnerabilidad tiene implicaciones serias en el sector de infraestructura crítica, en particular en la fabricación crítica, y ha sido reportada por Siemens a la CISA. Si bien Siemens ha identificado la vulnerabilidad y proporcionado ciertos detalles, actualmente no hay soluciones directas para las versiones más antiguas del sistema de Mendix Runtime. Sin embargo, se recomienda a los usuarios de la versión V10 actualizar a al menos la versión 10.21.0.
Como medidas de mitigación, Siemens sugiere proteger el acceso a la red mediante mecanismos de seguridad adecuados y operar estos dispositivos dentro de un entorno IT controlado alineado con las pautas de seguridad industrial de Siemens. Los usuarios también son aconsejados a que localicen sus redes y dispositivos del sistema de control detrás de firewalls y que los aíslen de las redes comerciales. En situaciones que requieran acceso remoto, se recomienda el uso de redes privadas virtuales (VPN), aunque es crucial que estas estén actualizadas y se sometan a una adecuada gestión de seguridad.
CISA subraya la importancia de que las organizaciones realicen un análisis de impacto y evaluación de riesgos antes de implementar cualquier medida defensiva. Se alienta a las organizaciones a consultar las mejores prácticas de defensa cibernética que se ofrecen a través de los recursos disponibles en la página web de CISA.
Hasta la fecha, no se ha reportado ninguna explotación pública conocida de esta vulnerabilidad, pero se recomienda que las organizaciones observen actividad sospechosa y sigan procedimientos internos para reportar dicha actividad a CISA para seguimiento y correlación con otros incidentes. También se aconseja que los usuarios sigan prácticas de defensa contra ataques de ingeniería social.
Las organizaciones deben implementar estrategias cibernéticas proactivas para proteger sus activos de sistemas de control industrial (ICS) y utilizar recursos de CISA, que incluyen documentos técnicos sobre la detección de intrusiones y otros enfoques de seguridad recomendados. Este aviso también obedece a un historial de actualización que incluye una republicación anterior del asesor de Siemens el 15 de abril de 2025.
En resumen, es esencial que las organizaciones que utilizan el Mendix Runtime de Siemens tomen medidas inmediatas para mitigar riesgos, actualizando software pertinente y fortaleciendo su infraestructura de seguridad para protegerse contra posibles ataques derivados de esta vulnerabilidad.
Enlace de la fuente, haz clic para tener más información