Vulnerabilidades Críticas en SmartServer IoT de EnOcean Edge Exponen Sistemas Industriales a Ataques

Madrid, España – 20 de febrero de 2026 – El Instituto Nacional de Ciberseguridad de España (INCIBE) ha emitido un aviso urgente sobre múltiples vulnerabilidades de gravedad alta en el SmartServer IoT de EnOcean Edge Inc., un servidor perimetral (edge) ampliamente desplegado en entornos de IoT industrial (IIoT). Las fallas, registradas bajo los identificadores CVE-2026-23456 a CVE-2026-23460, podrían permitir a actores maliciosos ejecutar código remoto, interrumpir operaciones o acceder sin autorización a infraestructuras críticas.

Detalles Técnicos

Las vulnerabilidades afectan a las versiones de SmartServer IoT anteriores a la 4.5.2, con los siguientes problemas críticos identificados:

• CVE-2026-23456 (CVSS 9.8): Ejecución Remota de Código (RCE) sin autenticación mediante peticiones HTTP manipuladas en la interfaz web. Explota un desbordamiento de búfer en el componente webserver, permitiendo la toma completa del sistema.
• CVE-2026-23457 (CVSS 8.6): Denegación de Servicio (DoS) a través de paquetes MQTT malformados, provocando la caída del servicio mqtt-broker y la interrupción de las comunicaciones con dispositivos IoT.
• CVE-2026-23458 (CVSS 7.5): Autenticación Impropia en la API REST, permitiendo a los atacantes eludir la autenticación y acceder a configuraciones sensibles de los dispositivos.
• CVE-2026-23459 (CVSS 7.2): Cross-Site Scripting (XSS) Almacenado en el panel de administración, facilitando el secuestro de sesiones mediante cargas útiles maliciosas.
• CVE-2026-23460 (CVSS 6.5): Divulgación de Información debido a credenciales hardcodeadas en el firmware, exponiendo contraseñas de administrador por defecto en texto plano.

Las vulnerabilidades fueron descubiertas por INCIBE-CERT durante una evaluación de seguridad rutinaria y reportadas a EnOcean Edge, que ha lanzado un parche en la versión SmartServer IoT v4.5.2.

Análisis de Impacto

El SmartServer IoT se despliega en edificios inteligentes, automatización industrial y sistemas de gestión energética, integrándose frecuentemente con los protocolos BACnet, Modbus y LonWorks. La explotación de estas fallas podría derivar en:

• Interrupción operativa en infraestructuras críticas (ej.: sistemas HVAC, iluminación o control de acceso).
• Movimiento lateral hacia redes corporativas a través de dispositivos IoT comprometidos.
• Exfiltración de datos de telemetría industrial sensible o credenciales de usuarios.
• Riesgos para la seguridad física si los atacantes manipulan sistemas conectados (ej.: desactivar alarmas de incendios o cámaras de seguridad).

INCIBE advierte que ya circulan pruebas de concepto (PoC) para las vulnerabilidades CVE-2026-23456 y CVE-2026-23457 en foros clandestinos, lo que aumenta la urgencia de aplicar los parches.

Recomendaciones

Los equipos de seguridad y operadores industriales deben:

1. Actualizar inmediatamente a la versión SmartServer IoT v4.5.2 o superior, disponible en el portal de soporte de EnOcean Edge.
2. Aislar los dispositivos SmartServer IoT de las redes corporativas hasta aplicar los parches, utilizando VLANs o firewalls.
3. Monitorear el tráfico de red en busca de peticiones MQTT/HTTP anómalas o accesos no autorizados a la API.
4. Rotar todas las credenciales por defecto e implementar autenticación multifactor (MFA) para las interfaces de administración.
5. Auditar los dispositivos IoT conectados en busca de signos de compromiso, especialmente aquellos que utilizan los protocolos BACnet o Modbus.

Para más orientación, consulte el aviso de INCIBE (INCIBE-CERT-2026-0045) o la Alerta de CISA (ICS-ALERT-2026-0220).

---

Este aviso sigue el proceso de divulgación coordinada de INCIBE. EnOcean Edge ha reconocido las vulnerabilidades y colaborado en su remediación.