VOLVER A NOTICIAS
Avisos CERT

Herramientas Web de Ingeniería Valmet DNA Vulnerables a Ataque de Recorrido de Directorios (CVE Pendiente)

3 min de lecturaFuente: INCIBE-CERT

INCIBE-CERT advierte sobre una vulnerabilidad de recorrido de directorios en las Herramientas Web de Ingeniería Valmet DNA, que permite acceso no autorizado a archivos sensibles en sistemas ICS.

Herramientas Web de Ingeniería Valmet DNA Afectadas por Vulnerabilidad de Recorrido de Directorios

Madrid, España – 20 de febrero de 2026 – INCIBE-CERT ha emitido un aviso sobre una vulnerabilidad de recorrido de directorios en las Herramientas Web de Ingeniería Valmet DNA, un conjunto de software utilizado para la automatización y control de procesos industriales. La falla, que actualmente no cuenta con un identificador CVE, permite el acceso no autorizado a directorios restringidos, exponiendo potencialmente archivos sensibles del sistema.

Detalles Técnicos

La vulnerabilidad surge de una limitación incorrecta de los controles de acceso a directorios en la interfaz web de las Herramientas de Ingeniería DNA de Valmet. Los atacantes con acceso a la red del sistema afectado podrían explotar esta falla para recorrer directorios fuera de la ruta restringida prevista, accediendo potencialmente a archivos de configuración, credenciales u otros datos críticos.

  • Software Afectado: Herramientas Web de Ingeniería Valmet DNA
  • Tipo de Vulnerabilidad: Recorrido de Directorios (CWE-22)
  • Impacto: Acceso no autorizado a directorios, posible exposición de datos
  • Puntuación CVSS: Pendiente (probablemente de gravedad alta)
  • Estado del Parche: No disponible aún

Análisis de Impacto

Los sistemas de control industrial (ICS), como las Herramientas de Ingeniería DNA de Valmet, son críticos para las operaciones en sectores como la producción de pulpa, papel y energía. Una explotación exitosa de esta vulnerabilidad podría llevar a:

  • Acceso no autorizado a datos operativos sensibles
  • Interrupción de procesos industriales si se alteran archivos de configuración
  • Movimiento lateral dentro de la red si se exponen credenciales

Dado que el software se despliega en entornos de Tecnología Operativa (OT), el riesgo va más allá de la exposición de datos, pudiendo tener consecuencias físicas, como daños a equipos o incidentes de seguridad.

Recomendaciones para los Equipos de Seguridad

INCIBE-CERT y Valmet aún no han lanzado un parche, pero las organizaciones que utilizan el software afectado deben:

  1. Restringir el Acceso a la Red

    • Limitar la exposición de la interfaz de las Herramientas Web de Ingeniería DNA solo a redes confiables.
    • Implementar reglas de firewall para bloquear el acceso no autorizado al puerto de la interfaz web.

  2. Monitorear Actividades Sospechosas

    • Desplegar sistemas de detección/prevención de intrusiones (IDS/IPS) para identificar intentos de recorrido de directorios.
    • Revisar registros en busca de patrones de acceso inusuales a directorios restringidos.

  3. Aplicar Medidas de Defensa en Profundidad

    • Segmentar las redes OT de las redes corporativas de TI para contener posibles brechas.
    • Aplicar el principio de mínimo privilegio para los usuarios que interactúan con el sistema.

  4. Prepararse para la Aplicación de Parches

    • Monitorear los canales oficiales de Valmet para actualizaciones de seguridad y aplicarlas inmediatamente tras su lanzamiento.
    • Probar los parches en un entorno no productivo antes de su implementación para evitar interrupciones operativas.

Próximos Pasos

INCIBE-CERT actualizará su aviso a medida que se disponga de más información, incluyendo un identificador CVE y detalles del parche. Las organizaciones que dependen de las Herramientas de Ingeniería DNA de Valmet deben tratar este problema como una prioridad alta e implementar mitigaciones hasta que se proporcione una solución.

Para más detalles, consulte el aviso original en la página web de INCIBE-CERT.

Compartir

TwitterLinkedIn