ztevenreal
Un catedrático ignorado cita un documentación del registro: Diez vulnerabilidades en Copeland Controllers, que se encuentran en miles de dispositivos utilizados por las cadenas de supermercados más grandes del mundo y las compañías de almacenamiento en frío, podrían sobrevenir permitió que los delincuentes manipularan las temperaturas y estropeen los alimentos y la medicina.conduciendo a interrupciones masivas de la cautiverio de suministro. Los defectos, llamados colectivamente FrostByte10, afectan los controladores Copeland E2 y E3, utilizados para dirigir sistemas críticos de construcción y refrigeración, como grupos de compresores, condensadores, unidades sin cita previa, HVAC y sistemas de iluminación. Tres recibieron calificaciones de severidad crítica. La firma de seguridad de tecnología operativa Armis encontró e informó los 10 errores a Copeland, que desde entonces han emitido actualizaciones de firmware que solucionan los fallas tanto en los controladores E3 como en los controladores E2. El E2S alcanzó su fin de vida oficial en octubre, y se alienta a los clientes afectados a mudarse a la nueva plataforma E3. Modernización a Copeland Firmware Interpretación 2.31F01 mitiga todos los problemas de seguridad detallados aquí, y el proveedor recomienda parchear de inmediato.
Encima de las actualizaciones de Copeland, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) asimismo está programada para propagar avisos hoy, instando a cualquier estructura que utilice controladores vulnerables para parches de inmediato. Antiguamente de estas publicaciones, los ejecutivos de Copeland y Armis hablaron exclusivamente al registro sobre Frostbyte10, y nos permitieron obtener una instinto previa de un documentación de Armis sobre los problemas de seguridad. “Cuando se combinan y explotan, estas vulnerabilidades pueden dar circunscripción a una ejecución de código remoto no autenticado con privilegios raíz”, señaló. (…) Para ser claros: no hay indicios de que ninguna de estas vulnerabilidades haya sido encontrada y explotada en la naturaleza ayer de que Copeland emitiera soluciones. Sin secuestro, el magnitud omnipresente del fabricante en el almacenamiento minorista y en frío lo convierte en un objetivo principal para todo tipo de delincuentes, desde atacantes en estado-nación que buscan interrumpir la cautiverio de suministro de alimentos hasta las pandillas de ransomware que buscan víctimas que rápidamente pagarán las demandas de molestia para evitar el tiempo de inactividad activo y el maltrato de los alimentos.
Aquí están todos los 10 CVE resaltados por el registro:
-CVE-2025-6519, una vulnerabilidad CVSS 9.3 en el control del supervisor del sitio E3 adecuado a un afortunado administrador predeterminado “Oneday” con una contraseña generada diariamente que se puede crear predecible; El afortunado de OneDay no se puede eliminar o modificar.
-CVE-2025-52543, una equivocación de autenticación CVSS 5.3 en dos servicios de aplicación E3 (Gateway o MGW, e interfaz de comunicación remota o RCI) que usan hashing del flanco del cliente para la autenticación. Un atacante puede autenticarse obteniendo solo el hash de contraseña.
-CVE-2025-52544, A CVSS 8.8 Vulnerabilidad de leída arbitraria en E3. El compensador tiene una característica de plano de planta que permite que un atacante no autenticado cargue archivos de plano de planta especialmente elaborados y luego acceda a cualquier archivo desde el sistema de archivos E3.
-CVE-2025-52545, un error de ascenso de privilegios CVSS 7.7 en E3. El servicio RCI contiene una convocatoria API para deletrear la información de los usuarios, que devuelve todos los nombres de afortunado y hash de contraseña para los servicios de aplicación.
-CVE-2025-52546, un defecto CVSS 5.1 XSS en E3, adecuado a una característica de plano de planta que permite que un atacante no autenticado cargue archivos de plano de planta. Un atacante puede cargar un archivo de plano de planta especialmente minucioso y luego inyectar un XSS almacenado a la página web del plano de pavimento.
-CVE-2025-52547, un error de denegación de servicio (DOS) CVSS 8.7 en E3. El servicio MGW contiene una convocatoria API que carece de empuje de entrada, y un atacante puede atropellar de esto para rodear continuamente los servicios de aplicación.
-CVE-2025-52548, un problema de seguridad CVSS 6.9 en E3 causado por una convocatoria API oculta en los servicios de aplicación que habilita SSH y ShellInabox, que existen pero están deshabilitados de forma predeterminada. Sin secuestro, un atacante con entrada de administrador a los servicios de aplicación puede atropellar de esta API para permitir el entrada remoto al sistema activo subyacente.
-CVE-2025-52549, un error CVSS 9.2 en E3 genera la contraseña de Root Linux en cada inicio. Esto permite que un atacante genere la contraseña de Root Linux para un dispositivo pusilánime en función de los parámetros conocidos o fáciles de hacer.
-CVE-2025-52550, un CVSS 8.6 en E3 causado por paquetes de puesta al día de firmware sin firmar. Un atacante con entrada de administrador a los servicios de aplicación puede forjar un paquetes de puesta al día de firmware y luego instalar la lectura maliciosa.
-CVE-2025-52551, un CVSS 9.3 en los sistemas de diligencia de instalaciones E2, que utilizan un protocolo patentado que permite operaciones de archivos no autorenticadas en cualquier archivo en el sistema de archivos.
