Blog HackRTU

‹ Regresar

CINCO NUEVOS CVE en el dispositivo tcprs1+ de circutor

 

CRÓNICAS DE LA GALAXIA

 

 

Juakin PLC Walker y DAV-25 habían pasado sus últimas semanas encerrados en el laboratorio, el trabajo del Jedi contra los dispositivos vulnerables nunca cesa. Juakin había estado trabajando en las sombras, de forma altruista, para detectar nuevas vulnerabilidades en dispositivos industriales que ayuden a los fabricantes a mejorar sus productos y que la galaxia sea más segura.

En su último proyecto de investigación había analizado unas pasarelas de conversión de medio físico (entre Modbus RTU y Modbus TCP/IP) del fabricante Circutor. Concretamente, el modelo analizado era el TCPRS1+.

El TCPRS1+ además de la capacidad de conversión de medio físico, dispone de comunicaciones Wi-Fi, un servidor web integrado con interfaz intuitiva y una aplicación, MyConfig, para la configuración rápida y sencilla. Entre sus funcionalidades están las siguientes:

• Automatización de infraestructuras de suministros mediante integración con PLC o BMS (Building Management System).
• Monitorización y control de dispositivos Modbus RTU desde plataformas en la nube o sistemas de supervisión centralizados.
• Modernización de instalaciones existentes añadiendo conectividad TCP/IP sin modificar el cableado.

Concretamente, estos eran los datos del dispositivo afectado:

• Modelo específico: TCPRS1+
• Versión de firmware revisada:
  • 1.0.14

Gracias a la información reportada por Juakin PLC Walker al CNA de S21sec y a la gran labor de sus trabajadores, cinco vulnerabilidades han sido publicadas, siendo sus CVE ID:

• CVE-2025-64385: Incorrect security validation in sending UDP frames
  • CVSS v4.0: 9.2
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:H/SC:N/SI:L/SA:H
  • CWE-20: Improper Input Validation
  • EPSS: 0,135%
• CVE-2025-64386: Hijacking of the token and gaining access
  • CVSS v4.0: 7.7
  • CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
  • CWE-613: Insufficient Session Expiration
  • EPSS: 0,041%
• CVE-2025-64387: Clickjacking
  • CVSS v4.0: 5.1
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
  • CWE-1021: Improper Restriction of Rendered UI Layers or Frames
  • EPSS: 0,041%
• CVE-2025-64388: Denial of service through specific packets
  • CVSS v4.0: 9.2
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H
    • CWE-400: Uncontrolled Resource Consumption
  • EPSS: 0,042%
• CVE-2025-64389: Exchange of sensitive information in clear text
  • CVSS v4.0: 8.3
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:L/SA:H
  • CWE-319: Cleartext Transmission of Sensitive Information
  • EPSS: 0,029%

 

CVE-2025-64389 – EXCHANGE OF SENSITIVE INFORMATION IN CLEAR TEXT

Esta vulnerabilidad hace referencia al intercambio de información sensible en texto claro dentro de las operativas de comunicación del dispositivo TCPRS1+.

Aunque la vulnerabilidad sea sencilla, el uso de protocolos de comunicaciones inseguros como HTTP permitirían a un atacante obtener información crítica de la red como usuarios, credenciales, versiones de sistemas, valores de producción, configuraciones, etc.

Dentro de la red, el paquete enviado con las credenciales puede atravesar diferentes nodos de comunicaciones intermedios a partir de los cales con acceso a dicha interfaz de red podrían obtener la información en claro.

En el caso del dispositivo TCPRS1+, se podía obtener información crítica para el dispositivo y su gestión. En la imagen anterior, se puede observar un ejemplo de la información que podría obtener un atacante al interceptar la comunicación entre un usuario que intenta acceder a un dispositivo mediante usuario y contraseña.

Las posibles mitigaciones/soluciones de este tipo de vulnerabilidades puede realizarse de diferentes formas entre las que se incluyen las siguientes (según MITRE para el CWE-319: Cleartext Transmission of Sensitive Information):

• Antes del envío de la información, se recomienda el cifrado de los datos mediante protocolos criptográficos confiables.
• Utilice protocolos de comunicaciones seguros como HTTPS durante toda la sesión, desde el inicio de sesión, hasta el cierre de sesión.
• Empleo de servidores con canales cifrados para la comunicación que incluyan SSL u otros protocolos seguros.

 

CVE-2025-64387 – CLICKJACKING

En el caso de la vulnerabilidad CVE-2025-64387, nuestros investigadores descubrieron que no existían protecciones contra el clickjacking. Esta vulnerabilidad, también conocida como UI redress attack y con CWE-1021 (Improper Restriction of Rendered UI Layers or Frames) hace referencia a un tipo de ataque en el que una supuesta víctima haría clic en un sitio web que aparentemente parecería legítimo y confiable, pero en realidad, estaría haciendo clic en una web maliciosa oculta o sobrepuesta respecto al sitio web legítimo.

En resumen, este tipo de ataques se basa en interponer un elemento invisible sobre una página legítima, consiguiendo que los usuarios interactúen con la web original, pero haciendo clic en una capa invisible por encima de la legítima.

Existen una gran variedad de ataques de clickjacking, entre ellos por ejemplo encontramos los siguientes: El clickjacking de cursor, tipo de ataque en el cual se mueve el curso del usuario a través de la pantalla y lo hace ejecutar una acción sin que se de cuenta. También existe el clickjacking de like falso, en el cual, un atacante superpone un botón de Like sobre una publicación en redes sociales y una vez el usuario hace clic sobre el realizaría la acción maliciosa preparada por el atacante.

Este tipo de vulnerabilidad ya no es tan común, pero han existido gran variedad de ataques muy conocidos usando esta técnica. Así mismo, existen diferentes medidas de mitigación/solución para el problema. Por ejemplo, OWASP, contempla las siguiente potenciales soluciones para evitar o mitigar los ataques por clickjacking:

• Envío de los encabezados de respuesta adecuados en base a la Content Security Policy (CSP) lo que le indicaría al navegador que no permita los cambios en los frames desde otros navegadores.
• Configurar correctamente las cookies de autenticación con la etiqueta SameSite=Stric (o también Lax) para garantizar mayor seguridad.
• Utilizar código específico para garantizar que la interfaz del usuario sea el marco correcto.

Además, OWASP, recomienda en cuanto a medidas defensivas contra el clickjacking revisar la hoja de referencia contra el clickjacking en la cual se hacen referencias defensivas para los desarrolladores.

Todas las recomendaciones proporcionadas por nuestro equipo de técnicos son recomendaciones genéricas. Para subsanar los problemas específicos de las vulnerabilidades CVE-2025-64385, CVE-2025-64386, CVE-2025-64387, CVE-2025-64388 y CVE-2025-64389, HackRTU recomienda acceder al aviso generado por S21sec en relación a las vulnerabilidades e implementar las soluciones/mitigaciones propuestas por el fabricante (Circutor).

 

 

EQUIPO DE HACKRTU