Interfaz web celular de Hubbell Aclara Metrum
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
Ver Resumen de CSAF La explotación exitosa de esta vulnerabilidad podría permitir a los atacantes manipular configuraciones críticas del dispositivo y interrumpir repetidamente las operaciones, lo que podría causar la pérdida de comunicaciones con el dispositivo. Las siguientes versiones de la Interfaz Web Celular Hubbell Aclara Metrum están afectadas: Interfaz Web Celular Aclara Metrum CVSS Vendor Equipment Vulnerabilities v3 7.5 Hubbell Hubbell Aclara Metrum Interfaz Web Celular Falta de Autenticación para Funciones Críticas Contexto Sectores de Infraestructura Crítica: Energía Países/Zonas Desplegadas: Estados Unidos Ubicación de la Sede de la Compañía: Estados Unidos Vulnerabilidades Expandir Todo + CVE-2026-1840 La Interfaz Web Celular Aclara Metrum es vulnerable a accesos no autorizados debido a la ausencia de controles de autenticación en funciones críticas del sistema. Esta debilidad expone configuraciones esenciales, permitiendo a los atacantes alterar parámetros operativos y reiniciar el sistema sin restricciones. Tales cambios no autorizados pueden interrumpir la funcionalidad normal y, si se realizan repetidamente, pueden llevar a una pérdida de comunicaciones con el dispositivo. Ver Detalles de CVE Productos Afectados Interfaz Web Celular Aclara Metrum Vendor: Hubbell Versión del Producto: Interfaz Web Celular Aclara Metrum: <v2.1.0.105 Estado del Producto: conocido_affected Remediaciones Mitigación Hubbell aconseja a los usuarios que actualicen su firmware a v2.1.0.105 para minimizar la exposición de la red y asegurar que los dispositivos no sean accesibles desde Internet. Los usuarios pueden descargar la versión 2.1.0.105 desde: https://aclara.my.site.com/AclaraConnect/s/ CWE Relevante: CWE-306 Falta de Autenticación para Funciones Críticas Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 7.5 ALTA CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.0 8.7 ALTA CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N Reconocimientos Abhirup Konwar reportó esta vulnerabilidad a CISA Aviso Legal y Términos de Uso Este producto se proporciona sujeto a esta Notificación (https://www.cisa.gov/notification) y esta política de Privacidad y Uso (https://www.cisa.gov/privacy-policy). Prácticas Recomendadas CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Minimizar la exposición de la red para todos los dispositivos y/o sistemas de control, asegurando que no sean accesibles desde internet. Localizar redes de sistemas de control y dispositivos remotos detrás de cortafuegos e isolándolos de redes de negocio. Cuando se requiera acceso remoto, usar métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. También reconocer que la VPN es tan segura como los dispositivos conectados. CISA recuerda a las organizaciones realizar un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas. CISA también proporciona una sección para prácticas recomendadas de seguridad en sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para su lectura y descarga, incluyendo la mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad. CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de ICS. Orientación adicional de mitigación y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento técnico, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas. Las organizaciones que observen actividad maliciosa sospechosa deben seguir los procedimientos internos establecidos y reportar sus hallazgos a CISA para su seguimiento y correlación con otros incidentes. No se ha informado a CISA sobre ninguna explotación pública conocida específicamente dirigida a esta vulnerabilidad en este momento. Historial de Revisiones Fecha de Lanzamiento Inicial: 2026-06-23 Resumen de Revisiones 2026-06-23 1 Publicación Inicial Aviso Legal y Términos de Uso
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
