# Vulnerabilidad Crítica de Control de Acceso Descubierta en Gateways de Mensajería de OpenCode Systems ## Resumen Se ha descubierto una vulnerabilidad de seguridad significativa en el OC Messaging y USSD Gateway de **OpenCode Systems**. La explotación exitosa de esta vulnerabilidad podría permitir a un usuario autenticado de bajo privilegio obtener acceso a mensajes SMS fuera de su alcance de inquilino autorizado a través de un parámetro de identificador de empresa o inquilino manipulado. La vulnerabilidad se rastrea como **CVE-2025-70614**. Las siguientes versiones de OpenCode Systems OC Messaging y USSD Gateway se ven afectadas: * OC Messaging 6.32.2 (**CVE-2025-70614**) * USSD Gateway 6.32.2 (**CVE-2025-70614**) ## Detalles de la Vulnerabilidad | CVSS | Vendor | Equipo | Vulnerabilidades | | :----- | :---------------- | :--------------------------------------------- | :---------------------- | | v3 8.1 | OpenCode Systems | OpenCode Systems OC Messaging and USSD Gateway | Control de Acceso Inadecuado | ### Antecedentes * **Sectores de Infraestructura Crítica:** Comunicaciones * **Países/Áreas Desplegadas:** Mundial * **Ubicación de la Sede de la Empresa:** Bulgaria --- ## Vulnerabilidades ### CVE-2025-70614 El Gateway de Mensajería Personalizado 6.32.2 de **OpenCode Systems** contiene una vulnerabilidad de acceso web que permite a un usuario autenticado obtener acceso a los mensajes de otro usuario autenticado a través de un parámetro de identificador manipulado. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2025-70614) --- #### Productos Afectados ##### OpenCode Systems OC Messaging and USSD Gateway **Vendedor:** OpenCode Systems **Versión del Producto:** OpenCode Systems OC Messaging: 6.32.2, OpenCode Systems USSD Gateway: 6.32.2 **Estado del Producto:** known_affected **CWE Relevante:** [CWE-284 Control de Acceso Inadecuado](https://cwe.mitre.org/data/definitions/284.html) --- #### Métricas ## Recomendaciones de Mitigación La **Agencia de Ciberseguridad e Infraestructura (CISA)** recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Las recomendaciones clave incluyen: * Minimizar la exposición de la red para todos los dispositivos y/o sistemas de control, asegurando que no sean accesibles desde Internet. * Ubicar las redes de sistemas de control y los dispositivos remotos detrás de firewalls y aislarlos de las redes empresariales. * Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (**VPN**), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconocer que las VPN solo son tan seguras como los dispositivos conectados. CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas. ## Recursos Adicionales CISA también proporciona una sección de mejores prácticas recomendadas para la seguridad de sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluyendo "Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies". CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de ICS. La guía de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Las organizaciones que observen actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes. CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social: * No haga clic en enlaces web ni abra archivos adjuntos en mensajes de correo electrónico no solicitados. * Consulte "Recognizing and Avoiding Email Scams" para obtener más información sobre cómo evitar estafas por correo electrónico. * Consulte "Avoiding Social Engineering and Phishing Attacks" para obtener más información sobre ataques de ingeniería social. No se ha informado a CISA de ninguna explotación pública conocida que se dirija específicamente a esta vulnerabilidad en este momento. --- ## Agradecimientos Hussein Amer informó de esta vulnerabilidad a CISA. ## Historial de Revisiones | Fecha | Revisión | Resumen | | :--------- | :------- | :----------------- | | 2026-03-26 | 1 | Publicación Inicial | --- [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-085-02.json)