Una vulnerabilidad de seguridad de alta resistencia (CVE-2025-1449) que afecta los productos de Verve Asset Manager permite a los administradores ejecutar comandos arbitrarios.
Las vulnerabilidades descubiertas antes de la versión 1.39 se les asigna una puntuación base CVSS de 9.1 (v3.1) que indica gravedad y un impacto potencial significativo.
La vulnerabilidad de Rockwell Addi
La falla de seguridad identificada como CVE-2025-1449 se atribuye a la desinfección de variables insuficientes en la interfaz web de administración de las capacidades de Inventario de Dispositivos de Dispositivos de Agente Legacy (ADI) de Verve.
Esta característica se ha desapercido desde la versión 1.36, pero está presente en los sistemas afectados.
Según Rockwell Automation, “Parte de la interfaz de administración de gestión de capacidades de dispositivos de agente heredado de Verve (ADI), la interfaz de administración de gestión permite a los usuarios cambiar variables con insuficiente desinfección”.
Esta vulnerabilidad permite que un actor de amenaza con privilegios administrativos ejecute comandos arbitrarios dentro del contexto del contenedor que ejecuta el servicio.
Las vulnerabilidades se clasifican en base a CWE-1287: validación inapropiada de entradas del tipo especificado. Esta es una debilidad común en la seguridad del software.
A continuación se muestra una descripción general de la vulnerabilidad:
Los factores de riesgo están aislados
Productos afectados El Administrador de activos (Versión ≤1.39)
Ejecute cualquier comando usando el acceso a las acciones de ImpactAllows.
Aproveche el acceso administrativo de requisitos previos al sistema afectado. CVSS 3.1 Puntuación9.1 (crítico)
reparar
Rockwell Automation está abordando este problema de seguridad con Verve Asset Manager Versión 1.40 y fue lanzado junto con el aviso de seguridad.
La compañía insta a todos los clientes a actualizar a la versión parcheada lo antes posible utilizando la versión afectada.
Para los clientes que no pueden actualizarse de inmediato, Rockwell recomienda que las mejores prácticas de seguridad se apliquen siempre que sea posible, pero señala que ciertas soluciones no están disponibles para esta vulnerabilidad.
El aviso confirma que esta es una vulnerabilidad crítica, pero no se ha agregado a la base de datos de vulnerabilidad explotada (KEV) conocida de la CISA, lo que sugiere que no hay evidencia de explotación agresiva en la naturaleza a partir de la fecha de publicación.
Esta vulnerabilidad destaca los desafíos de seguridad continuos en los sistemas de automatización industrial y se está convirtiendo en un objetivo para los actores de amenaza sofisticados.
La capacidad de ejecutar comandos arbitrarios permite a los atacantes interrumpir los procesos industriales, acceder a la información confidencial y establecer la persistencia dentro de la red afectada.
Las organizaciones industriales que utilizan el gerente de activos de Rockwell Automation deben realizar una evaluación inmediata de riesgos y priorizar las reparaciones en función de la importancia del sistema que ejecuta software expuesto y vulnerable.
Rockwell Automation dijo que los clientes pueden usar clasificaciones de vulnerabilidad específicas para las partes interesadas para crear una priorización más específica del medio ambiente para los planes de remediación.
El Aviso de Seguridad de la Compañía (SD1723) proporciona detalles técnicos y orientación adicionales a los clientes afectados, incluida la documentación en forma de un intercambio de explotabilidad para la vulnerabilidad de vulnerabilidad CVE-2025-1449.
Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis