## Vulnerabilidades en el MacGregor VDR G4e Exponen Infraestructura Crítica Investigadores han descubierto varias vulnerabilidades críticas en el **Grabador de Datos de Viaje (VDR) G4e de MacGregor**, un dispositivo ampliamente utilizado en el sector del transporte. Según un informe de **CISA**, la explotación exitosa de estas fallas podría otorgar a los atacantes control a nivel de administrador sobre los sistemas afectados. El producto afectado es: * MacGregor Voyage Data Recorder (VDR) G4e <V5.250 ### Desglose de Vulnerabilidades Las vulnerabilidades, descubiertas por Andrew Tierney de **Pen Test Partners**, incluyen: * **CVE-2026-42941**: Uso de Credenciales Predeterminadas. El dispositivo VDR se envía con un nombre de usuario y contraseña predeterminados, y no obliga a los usuarios a cambiarlos. Esta vulnerabilidad tiene una puntuación CVSS v3 de 8.3. * **CVE-2026-42951**: Credenciales Insuficientemente Protegidas. Un usuario autenticado puede descargar una copia de seguridad del dispositivo que incluye datos de cuenta y hashes de contraseñas. Esta vulnerabilidad tiene una puntuación CVSS v3 de 8.3. * **CVE-2026-42929**: Uso de Credenciales Incrustadas. El dispositivo incluye cuentas predeterminadas con credenciales incrustadas. Esta vulnerabilidad tiene una puntuación CVSS v3 de 8.3. ### Impacto y Mitigación Estas vulnerabilidades representan un riesgo significativo, particularmente dentro del sector de sistemas de transporte, ya que los VDR comprometidos podrían llevar a la manipulación de datos, interrupción del sistema u otras actividades maliciosas. **CISA** insta a las organizaciones a implementar las siguientes medidas defensivas: * Minimizar la exposición de la red para todos los dispositivos y sistemas de control, asegurándose de que no sean accesibles directamente desde Internet. * Ubicar las redes de sistemas de control y los dispositivos remotos detrás de firewalls, aislándolos de las redes corporativas. * Cuando se requiera acceso remoto, utilizar métodos seguros como VPN, asegurándose de que las soluciones VPN estén actualizadas con los últimos parches de seguridad. * Realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar cualquier medida defensiva. **CISA** también proporciona estrategias de ciberseguridad recomendadas para la defensa proactiva de activos de ICS, incluido el documento "Mejorando la Ciberseguridad de los Sistemas de Control Industrial con Estrategias de Defensa en Profundidad". Se alienta a las organizaciones que observen actividades maliciosas sospechosas a seguir los procedimientos internos establecidos e informar los hallazgos a **CISA** para su seguimiento y correlación con otros incidentes. ### Información del Proveedor * **Proveedor:** **Danelec** * **Producto Afectado:** MacGregor Voyage Data Recorder (VDR) G4e * **Versiones Afectadas:** <V5.250 Se recomienda encarecidamente a los usuarios de las versiones afectadas del **MacGregor** VDR G4e que actualicen sus sistemas a una versión parcheada tan pronto como esté disponible por parte de **Danelec**.