El equipo rojo de élite OPSWAT, la Unidad 515, se dedica a la ciberseguridad proactiva mediante pruebas avanzadas, simulaciones de ataques y la detección exhaustiva de vulnerabilidades. Con el objetivo de reforzar la seguridad de las infraestructuras críticas, la Unidad 515 puso en marcha una evaluación de seguridad exhaustiva del PLC Modicon M241 de Schneider Electric a principios de 2025.
Descubrimiento de múltiples vulnerabilidades en el Modicon M241
En febrero, la Unidad 515 llevó a cabo una evaluación exhaustiva del Modicon M241 con el fin de identificar posibles puntos débiles que pudieran suponer riesgos de ciberseguridad para los entornos de tecnología operativa (OT). Esta iniciativa permitió descubrir varias vulnerabilidades, entre las que se incluyen riesgos de exposición de datos, situaciones de denegación de servicio (DoS) y fallos de seguridad en el lado del cliente.
En consonancia con las prácticas de divulgación responsable y el compromiso OPSWATcon la seguridad de los sistemas industriales, Unit 515 comunicó de inmediato todos los hallazgos a Schneider Electric. Tras nuestra notificación, Schneider Electric llevó a cabo una investigación más exhaustiva y respondió con avisos de seguridad y parches de firmware publicados en mayo y junio de 2025, destinados a subsanar estos riesgos y proteger su línea de productos.
La primera vulnerabilidad publicada, CVE-2025-2875, se dio a conocer en mayo de 2025 junto con el aviso oficial y las instrucciones de corrección de Schneider Electric.
Posteriormente, en junio de 2025, Schneider Electric publicó avisos adicionales sobre las vulnerabilidades restantes descubiertas por Unit 515. Estos CVE incluyen:
- CVE-2025-3898
- CVE-2025-3899
- CVE-2025-3112
- CVE-2025-3905
- CVE-2025-3116
- CVE-2025-3117
Estos hallazgos ponen de relieve el papel fundamental que desempeñan las evaluaciones de seguridad proactivas y los principios de «seguridad desde el diseño» en la protección de los sistemas de control industrial. OPSWAT su compromiso de colaborar con los proveedores y los propietarios de activos para detectar y subsanar las vulnerabilidades de forma temprana, antes de que supongan una amenaza en los entornos operativos.
Resumen técnico de las vulnerabilidades CVE detectadas en dispositivos de Schneider Electric
En estrecha colaboración con Schneider Electric, OPSWAT del carácter delicado de los riesgos de ciberseguridad en entornos de tecnología operativa (OT). Con el fin de evitar facilitar el aprovechamiento malintencionado de las vulnerabilidades y proteger a los clientes de Schneider Electric, OPSWAT decidido no hacer públicos ni el código de explotación ni los detalles técnicos pormenorizados de las vulnerabilidades.
A continuación se ofrece un resumen general de las vulnerabilidades descubiertas por la Unidad 515:
CVE-2025-3898 y CVE-2025-3116: validación incorrecta de entradas (gravedad alta)
Estas vulnerabilidades se deben a una validación insuficiente de los datos de entrada, lo que podría provocar una denegación de servicio (DoS) en los dispositivos afectados. Un atacante autenticado podría enviar al controlador una solicitud HTTPS especialmente diseñada con un contenido malformado, lo que provocaría un fallo del sistema o un comportamiento inesperado.
- Afectados por CVE-2025-3898:
- Modicon M241/M251 (versiones de firmware anteriores a la 5.3.12.51)
- Modicon M262 (versiones anteriores a la 5.3.9.18)
- Afectados por CVE-2025-3116:
- Modicon M241/M251 (versiones anteriores a la 5.3.12.51)
- Todas las versiones de Modicon M258 y LMC058
CVE-2025-3112 - Consumo incontrolado de recursos (gravedad alta)
Esta vulnerabilidad, con una puntuación CVSS v4.0 de 7,1, podría permitir a un atacante autenticado agotar los recursos del sistema mediante la manipulación del encabezado «Content-Length» en las solicitudes HTTPS, lo que provocaría una denegación de servicio.
- Dispositivos afectados:
- Modicon M241/M251 (versiones anteriores a la 5.3.12.51)
CVE-2025-3899, CVE-2025-3905 y CVE-2025-3117: neutralización incorrecta de la entrada durante la generación de páginas web (gravedad media)
Estas vulnerabilidades del lado del cliente se deben a una validación inadecuada de los datos introducidos por el usuario en la interfaz web, lo que permite ataques de tipo «Cross-Site Scripting» (XSS). Un atacante autenticado podría inyectar scripts maliciosos, lo que podría comprometer la confidencialidad y la integridad de los datos en el navegador de la víctima.
- Los vulnerabilidades CVE-2025-3899, CVE-2025-3905 y CVE-2025-3117 afectan a:
- Modicon M241/M251 (versiones anteriores a la 5.3.12.51)
- Las vulnerabilidades CVE-2025-3905 y CVE-2025-3117 también afectan a:
- Todas las versiones de Modicon M258 y LMC058
- CVE-2025-3117 afecta además a:
- Modicon M262 (versiones anteriores a la 5.3.9.18)
Remediación
Recomendamos encarecidamente a las organizaciones que utilicen dispositivos PLC Modicon M241/M251/M262/M258/LMC058 de Schneider Electric que sigan las instrucciones oficiales proporcionadas por Schneider Electric para solucionar esta vulnerabilidad, disponibles aquí: Documento de aviso de seguridad de Schneider
Para mitigar eficazmente estas vulnerabilidades, las organizaciones deben adoptar una estrategia integral de defensa en profundidad, que incluya:
- Vulnerability detection análisis CVE continuos y corrección: Analizar periódicamente las redes en busca de vulnerabilidades y aplicar las medidas correctivas (preferiblemente mediante la aplicación de parches de firmware, si es posible)
- Supervisión de comportamientos anómalos: Detección de aumentos inusuales en la frecuencia de las comunicaciones con el PLC Schneider Modion M241, lo que podría indicar un intento de fuga de datos no autorizado en curso.
- Detección de conexiones de dispositivos no autorizados: el sistema debe detectar cuándo un dispositivo no autorizado se conecta al PLC.
- Segmentación de la red:aislar los dispositivos afectados puede ayudar a evitar la propagación lateral de los ataques, minimizando así su impacto.
- Prevención de intrusiones:identificación y bloqueo inmediatos de los comandos maliciosos o no autorizados dirigidos al PLC, lo que permite proteger eficazmente el funcionamiento normal del PLC
OPSWAT MetaDefender OT Security de OPSWAT responde a estas necesidades detectando vulnerabilidades CVE, supervisando continuamente la red en busca de comportamientos inusuales e identificando conexiones no autorizadas. Mediante el uso de la IA, aprende los patrones de tráfico normales, establece un comportamiento de referencia e implementa políticas para alertar de anomalías. Esto permite respuestas instantáneas y fundamentadas ante posibles amenazas. Además, MetaDefender OT Security permite la corrección de vulnerabilidades gracias a su capacidad única de actualización centralizada e integrada del firmware de los controladores.
En caso de un ataque que aproveche estas vulnerabilidades (CVE), MetaDefender OT Security se integra con MetaDefender Industrial Firewall para detectar, alertar y bloquear comunicaciones sospechosas según las reglas establecidas. MetaDefender Industrial Firewall utiliza la inteligencia artificial para aprender los patrones habituales del tráfico y aplicar políticas para evitar conexiones no autorizadas.
Más OPSWATde la prevención, MetaDefender OT Security de OPSWAT también permite a las organizaciones supervisar los indicios de explotación en tiempo real mediante una visibilidad continua de los activos y la evaluación de vulnerabilidades. Al aprovechar las capacidades avanzadas de detección y seguimiento del inventario de activos, evaluación de vulnerabilidades y aplicación de parches, nuestra plataforma ofrece una detección proactiva de amenazas y facilita la adopción de medidas correctivas rápidas y eficaces.
