Se ha descubierto una vulnerabilidad de seguridad crítica en los módulos de comunicación Ethernet Controllogix de Rockwell Automation, lo que puede permitir a los atacantes remotos ejecutar código arbitrario en los sistemas de control industrial.
La vulnerabilidad, rastreada como CVE-2025-7353, afecta múltiples módulos Ethernet Controllogix y lleva una puntuación CVSS máxima de 9.8, lo que indica graves implicaciones de seguridad para entornos de automatización industrial.
Control de llave
1. Flaw crítico en los módulos de Rockwell Controllogix Ethernet debido al agente de depuración web habilitado.
2. Los atacantes pueden ejecutar de forma remota el código, volcar la memoria y controlar los sistemas industriales.
3. Actualizar inmediatamente; Implementar la segmentación de red si el parche se retrasa.
Rockwell Automation publicó el aviso de seguridad el 14 de agosto de 2025, después de descubrir la falla durante los procedimientos de prueba interna.
Falla de configuración predeterminada insegura (CVE-2025-7353)
La vulnerabilidad CVE-2025-7353 proviene de una configuración predeterminada insegura en el agente del depurador basado en la web (WDB) que permanece habilitado en los dispositivos de producción.
Esta interfaz de depuración, destinada a fines de desarrollo, crea un vector de ataque significativo cuando se deja activo en entornos operativos.
La vulnerabilidad permite a los atacantes remotos no autenticados establecer conexiones utilizando direcciones IP específicas para acceder a la funcionalidad del agente WDB.
La falla se clasifica bajo CWE-1188: Inicialización de un recurso con un incumplimiento inseguro, destacando el problema de seguridad fundamental de los productos de envío con capacidades de depuración habilitadas de forma predeterminada.
El CVSS 3.1 Vector String CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H Indica que la vulnerabilidad puede explotarse a través de la red con baja complejidad, no requiere privilegios ni interacción del usuario, y proporciona un alto impacto entre la confidencialidad, la integridad y la disponibilidad.
La vulnerabilidad impacta varios módulos de comunicación Ethernet de Controllogix, incluyendo 1756-EN2T/D, 1756-EN2F/C, 1756-EN2TR/C, 1756-EN3TR/B y 1756-EN2TP/A Modelos que ejecutan la versión de firmware 11.004 o debajo.
Estos módulos sirven como interfaces de comunicación crítica entre los controladores de automatización programables de Controllogix (PAC) y las redes Ethernet en entornos industriales.
La explotación exitosa permite a los atacantes realizar volcados de memoria, modificar la memoria del sistema y controlar el flujo de ejecución de los dispositivos afectados.
Este nivel de acceso podría permitir a los atacantes manipular procesos industriales, acceder a datos operativos confidenciales o interrumpir las operaciones de fabricación.
El agente de depuración basado en la web proporciona acceso al sistema de bajo nivel típicamente reservado para el personal de desarrollo y mantenimiento autorizado.
Factores de riesgo Los productos de Automatización de la Automatización de la Automatización de Autor de Detenta:- 1756-EN2T/D- 1756-EN2F/C- 1756-EN2TR/C- 1756-EN3TR/B- 1756-EN2TP/A (todos los de la versión de firmado de la versión 11.004 o abajo) Agente: no se requiere autenticación: no se necesita interacción de usuario CVSS 3.1 Score9.8 (crítico)
Mitigaciones
Rockwell Automation tiene liberado Firmware Versión 12.001 Para abordar la vulnerabilidad en todos los módulos Ethernet de Controllogix afectados.
Las organizaciones deben priorizar la actualización de esta versión corregida como la estrategia de mitigación principal. La actualización deshabilita la configuración predeterminada insegura del agente WDB, eliminando el vector de ataque primario.
Para los entornos donde las actualizaciones inmediatas de firmware no son factibles, Rockwell Automation recomienda implementar las mejores prácticas de seguridad integrales.
Estos incluyen la segmentación de red para aislar los sistemas de control industrial, la implementación de reglas adecuadas de firewall para restringir el acceso a las interfaces de depuración y el monitoreo continuo del tráfico de red para actividades sospechosas.
Las organizaciones también deben realizar evaluaciones de seguridad exhaustivas de su infraestructura de automatización industrial para identificar vulnerabilidades similares en otros sistemas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
