# Dispositivos RTU500 de Hitachi Energy Enfrentan Múltiples Vulnerabilidades Críticas **Hitachi Energy** ha emitido un aviso sobre una serie de vulnerabilidades que afectan al firmware CMU de su serie **RTU500**, componentes cruciales desplegados en infraestructura crítica a nivel mundial. La explotación de estas fallas podría provocar graves interrupciones operativas, principalmente a través de Denegación de Servicio (DoS), con posibles impactos secundarios en la confidencialidad e integridad de los datos. [Ver Aviso CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-155-04.json) ## Productos Afectados e Impacto en Infraestructura Crítica Las vulnerabilidades afectan a varias versiones de firmware del **firmware CMU de la serie RTU500 de Hitachi Energy**, específicamente: * Versiones 12.7.1 – 12.7.7 * Versiones 13.5.1 – 13.5.4 * Versiones 13.6.1 – 13.6.3 * Versiones 13.7.1 – 13.7.8 * Versión 13.8.1 Estos dispositivos **RTU500** se despliegan ampliamente en sectores de infraestructura crítica, incluyendo presas, energía y sistemas de agua y aguas residuales a nivel global. El potencial de interrupción en tales entornos subraya la urgencia de abordar estas preocupaciones de seguridad. ## Análisis Profundo de las Vulnerabilidades Las vulnerabilidades divulgadas abarcan varios tipos, con una alta puntuación CVSS v3 de 7.8, lo que indica un riesgo significativo. Incluyen desreferencias de puntero NULL, desbordamientos de enteros y bucles infinitos. ### CVE-2025-69421: Desreferencia de Puntero NULL en Procesamiento PKCS#12 Esta vulnerabilidad, clasificada como [CWE-476 Desreferencia de Puntero NULL](https://cwe.mitre.org/data/definitions/476.html), ocurre al procesar un archivo **PKCS#12** malformado. La función `PKCS12_item_decrypt_d2i_ex()` no verifica los punteros NULL, lo que lleva a un bloqueo y una Denegación de Servicio. Este impacto se limita a DoS y no puede ser escalado para ejecución de código o divulgación de memoria. Afecta a productos donde un usuario privilegiado carga un certificado **PKCS#12** malformado a través de la interfaz web o si la funcionalidad de cliente PKI está configurada. [Ver Detalles CVE](https://www.cve.org/CVERecord?id=CVE-2025-69421) ### CVE-2026-24515, CVE-2026-32776 y CVE-2026-32778: Múltiples Desreferencias de Puntero NULL en libexpat Se han identificado varias vulnerabilidades relacionadas con desreferencias de puntero NULL en la biblioteca de análisis XML **libexpat**, utilizada por los dispositivos **RTU500** cuando la funcionalidad **IEC 61850** está configurada: * **CVE-2026-24515** ([CWE-476](https://cwe.mitre.org/data/definitions/476.html)): Ocurre en `XML_ExternalEntityParserCreate` debido a no copiar los datos del usuario del manejador de codificación desconocido, lo que lleva a DoS. * **CVE-2026-32776** ([CWE-476](https://cwe.mitre.org/data/definitions/476.html)): Permite una desreferencia de puntero NULL con contenido de entidad de parámetro externo vacío, causando DoS. * **CVE-2026-32778** ([CWE-476](https://cwe.mitre.org/data/definitions/476.html)): Una desreferencia de puntero NULL puede ocurrir en la función `setContext` tras un reintento después de una condición de falta de memoria, resultando en DoS. [Ver Detalles CVE-2026-24515](https://www.cve.org/CVERecord?id=CVE-2026-24515) [Ver Detalles CVE-2026-32776](https://www.cve.org/CVERecord?id=CVE-2026-32776) [Ver Detalles CVE-2026-32778](https://www.cve.org/CVERecord?id=CVE-2026-32778) ### CVE-2026-25210: Desbordamiento de Entero en libexpat Afectando también a **libexpat** cuando la funcionalidad **IEC 61850** está configurada, **CVE-2026-25210** ([CWE-190 Desbordamiento o Vuelta de Entero](https://cwe.mitre.org/data/definitions/190.html)) se origina en la función `doContent` que no determina correctamente el tamaño del búfer debido a la falta de una verificación de desbordamiento de entero para la reasignación del búfer de etiqueta. Esto causa principalmente Denegación de Servicio y potencialmente impacta la confidencialidad e integridad. [Ver Detalles CVE](https://www.cve.org/CVERecord?id=CVE-2026-25210) ### CVE-2026-32777: Bucle Infinito en Análisis DTD de libexpat Otra vulnerabilidad de **libexpat**, **CVE-2026-32777** ([CWE-835 Bucle con Condición de Salida Inalcanzable ('Bucle Infinito')](https://cwe.mitre.org/data/definitions/835.html)), puede llevar a un bucle infinito al analizar el contenido DTD. Esto también resulta en una Denegación de Servicio, afectando a productos configurados con funcionalidad **IEC 61850**. [Ver Detalles CVE](https://www.cve.org/CVERecord?id=CVE-2026-32777) ### CVE-2026-8479: Desreferencia de Puntero NULL en IEC 60870-5-104 **CVE-2026-8479** ([CWE-476 Desreferencia de Puntero NULL](https://cwe.mitre.org/data/definitions/476.html)) afecta al protocolo **IEC 60870-5-104** cuando se utiliza en modo bidireccional. Una secuencia de mensajes especialmente elaborada puede desencadenar una desreferencia de puntero NULL, causando una Denegación de Servicio. Esto es una preocupación para los productos configurados con funcionalidad **IEC 60870-5-104** en modo bidireccional (BCI). [Ver Detalles CVE](https://www.cve.org/CVERecord?id=CVE-2026-8479) ## Recomendaciones para Operadores **Hitachi Energy** aconseja a todos los usuarios afectados que consulten sus "Acciones Inmediatas Recomendadas" para obtener información sobre mitigación y remediación. Dada la naturaleza crítica de los sistemas afectados, la atención inmediata a estos avisos es primordial. Los profesionales de seguridad de TI que gestionan despliegues de **RTU500** deben revisar sus configuraciones, actualizar el firmware donde haya parches disponibles e implementar segmentación de red y controles de acceso estrictos para minimizar la exposición a posibles exploits.