Los investigadores de ciberseguridad han revelado dos fallas de seguridad críticas que afectan Red Lion Sisne t productos de unidades terminales remotas (RTU) que, si se explotan correctamente, podrían provocar la ejecución de código con los privilegios más altos.
Las deficiencias, rastreadas como CVE-2023-40151 y CVE-2023-42770 , ambos tienen una calificación de 10,0 en el sistema de puntuación CVSS.
«Las vulnerabilidades afectan a las RTU SixTrak y VersaTrak de Red Lion y permiten a un atacante no autenticado ejecutar comandos con privilegios de usuario root», investigan del equipo 82 de Claroty dijo en un informe publicado el martes.
Las RTU Sixnet de Red Lion brindan capacidades avanzadas de automatización, control y adquisición de datos en sistemas de control y automatización industrial, principalmente en los sectores de energía, agua y tratamiento de aguas residuales, transporte, servicios públicos y fabricación.
Estos dispositivos industriales se configuran mediante una utilidad de Windows llamada Sixnet IO Tool Kit, con un Protocolo «Universal» de Sixnet se utiliza para interactuar y permitir la comunicación entre el kit y las RTU.
También existe un sistema de permisos de usuario sobre este mecanismo para soportar la administración de archivos, configurar/obtener información de la estación, obtener el kernel de Linux y la versión de arranque, entre otros, a través del protocolo UDP.
Las dos vulnerabilidades identificadas por Claroty se enumeran a continuación:
- CVE-2023-42770 - Una omisión de autenticación que se produce cuando el software RTU de Sixnet escucha el mismo puerto (el número 1594) en UDP y TCP, lo que solo solicita un desafío de autenticación a través de UDP y acepta el mensaje entrante a través de TCP sin solicitar ninguna autenticación
- CVE-2023-40151 - Una vulnerabilidad de ejecución remota de código que aprovecha el soporte integrado de Sixnet Universal Driver (UDR) para la ejecución de comandos de shell de Linux para ejecutar código arbitrario con privilegios de root
Como resultado, un atacante podría encadenar ambas fallas para eludir las protecciones de autenticación para ejecutar comandos y lograr la ejecución remota de código.
«Las RTU de las series SixTrak y VersaTrak de Red Lion con usuarios autenticados habilitados (UDR-A), cualquier mensaje UDR de Sixnet que se reciba a través de TCP/IP, la RTU aceptará el mensaje sin ningún desafío de autenticación», Red Lion dijo en un aviso publicado en junio de 2025. «Cuando la autenticación de usuario no está habilitada, el shell puede ejecutar comandos con los privilegios más altos».
Se recomienda a los usuarios que apliquen los parches para las dos vulnerabilidades lo antes posible. También se recomienda habilitar la autenticación de usuarios en la RTU de Red Lion y bloquear el acceso a través de TCP a las RTU afectadas.
Según un alerta emitidas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) en noviembre de 2023, las fallas afectan a los siguientes productos -
- ST-iPM-8460: firmware 6.0.202 y versiones posteriores
- ST-iPM-6350: versión de firmware 4.9.114 y posteriores
- VT-MIPM-135-d: versión de firmware 4.9.114 y posteriores
- VT-MiPM-245-d: versión de firmware 4.9.114 y posteriores
- VT-IPM2M-213-d: versión de firmware 4.9.114 y posteriores
- VT-IPM2M-113-d: versión de firmware 4.9.114 y posteriores
«Las RTU de Red Lion ocupan un lugar destacado en muchos entornos de automatización industrial, y un atacante con acceso a los dispositivos y la capacidad de ejecutar comandos desde la raíz presenta importantes posibilidades de interrumpir o dañar los procesos», señaló Claroty.