ABB RMC-100 y LITE: Análisis de las vulnerabilidades CVE-2025-6071 a CVE-2025-6074

AtaquesICS-OTNoticias

Published on:

🔍 Resumen rápido

Este artículo agrupa cuatro vulnerabilidades (CVE-2025-6071, CVE-2025-6072, CVE-2025-6073 y CVE-2025-6074) que afectan a los controladores industriales ABB RMC‑100 y RMC‑100 LITE (firmwares 2105457‑043 a ‑045 y 2106229‑015 a ‑016). Todas se activan al habilitar la interfaz REST, y permiten desde el desencriptado de credenciales MQTT hasta denegaciones de servicio o acceso no autorizado. Aquí analizamos el fallo técnico, impacto ICS/OT y cómo mitigarlas.

🧐 ¿Qué son las vulnerabilidades CVE-2025-6071 a CVE-2025-6074?

  1. CVE-2025-6071 (CWE-321)
    Uso de claves criptográficas hard-coded en firmware que permite a un atacante descifrar información MQTT protegida.
    • CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/C:L/I:N/A:N)
  2. CVE-2025-6072 (CWE-121)
    Desbordamiento de búfer de pila mediante JSON malicioso en campo de expiración de tokens, causando denegación de servicio si REST está habilitado.
    • CVSS v3.1: 7.5 (Alta)
  3. CVE-2025-6073 (CWE-121)
    Similar a la anterior, afecta campos de nombre de usuario/contraseña MQTT. Requiere autenticación broker habilitada y explotación de CVE-2025-6074.
    • CVSS v3.1: 7.5 (Alta)
  4. CVE-2025-6074 (CWE-321)
    Bypass de autenticación REST mediante uso de claves hard-coded y acceso al código fuente o red de control.
    • CVSS v3.1: 6.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)

📂 Productos afectados

  • ABB RMC‑100: versiones 2105457‑043 a 2105457‑045
  • ABB RMC‑100 LITE: versiones 2106229‑015 a 2106229‑016

Todas las vulnerabilidades requieren que la interfaz REST esté activada (por defecto está desactivada).

💣 ¿Cómo funcionan las vulnerabilidades?

  • CVE-2025-6071 y CVE-2025-6074: permiten el desencriptado de configuraciones MQTT y eludir autenticaciones REST, respectivamente. Ambas explotan claves criptográficas embebidas en firmware.
  • CVE-2025-6072 y CVE-2025-6073: desbordamientos de búfer explotables mediante peticiones JSON maliciosas, permitiendo DoS. Requieren REST activado, y en el caso de CVE-2025-6073, también la autenticación MQTT por usuario/contraseña.

🔐 Mitigación y soluciones

  1. Desactivar REST si no es imprescindible.
  2. Actualizar firmware cuando ABB publique correcciones.
  3. Segmentar redes y limitar el acceso a los controladores.
  4. Restringir acceso al código fuente para evitar exploits de CVE-2025-6074.
  5. Monitorizar tráfico y configurar IDS para detectar intentos de explotación.
  6. Fortalecer autenticaciones y rotar credenciales MQTT.
  7. Capacitar al personal en prácticas seguras OT.

📅 Publicación y referencias

Conclusión

Las vulnerabilidades CVE-2025-6071 a CVE-2025-6074 son interdependientes y pueden comprometer gravemente entornos OT si REST está activo. La combinación de acceso no autenticado, claves hard-coded y desbordamientos de búfer exige una respuesta inmediata. Desactive REST, segmente redes y prepare su entorno ICS/OT para defenderse.

🔚 En digitalninjutsu.com estamos atentos a las amenazas en ciberseguridad industrial. Comparte este artículo o déjanos tus dudas si necesitas ayuda adicional.

Related

Leave a Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Javier Fernandez Bere
Javier Fernandez Bere

Copyright ©2024 DigitalNinjutsu. All rights reserved.