Resumen ejecutivo
Abhishek Pandey de Payatu Security Consulting ha informado de una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante obtener las credenciales del usuario que esté utilizando la red en ese momento.
Recursos afectados
Las versiones anteriores a la 1.08.01 de los siguientes productos de Murrelektronik Firmware Impact67:
- Pro 54620;
- Pro 54630;
- Pro 54631;
- Pro 54632.
Análisis técnico
La interfaz web de Murrelektronik Impact67 envía las credenciales de inicio de sesión en una solicitud GET por HTTP sin cifrar. El dispositivo no soporta HTTPS/TLS, lo que impide que las credenciales puedan enviarse de forma cifrada. Un atacante en la misma red puede interceptar las credenciales del usuario, lo que impacta en la confidencialidad del dispositivo.
Se ha asignado el identificador CVE-2025-41718 a esta vulnerabilidad.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-41718 | Alta | No | MURRELEKTRONIK |
Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.
Mitigación / Solución
Actualmente no hay disponible ningún parche que solucione el problema, aunque el fabricante está trabajando en él.
Por el momento, el fabricante recomienda, en la medida de lo posible, realizar las siguientes acciones:
- Desactivar el servidor web, de esta forma no habrá datos que puedan enviarse sin cifrar. Puede encontrar más información de cómo deshabilitar el servidor web en el manual.
- En caso de que sea necesario que el servidor web esté en funcionamiento, se recomienda segmentar la red, de esta forma se minimiza el tráfico no autorizado a la red.
- Deshabilitar en la unidad todos los puertos de red que no se empleen, de esta forma se puede prevenir el data sniffing.
- Exigir a los usuario del sistema que no utilicen datos personales o contraseñas frecuentes en las cuentas del servidor web, de este forma se previene la fuga de datos personales.