NARCO OBSERVATORIO

🛡 VULNERABILIDADES 🛡

Yokogawa CENTUM VP: Vulnerabilidades críticas descubiertas en versiones 9.06 y anteriores (CVE-2023-XXXX, CVE-2023-YYYY).

⏰5 de abril de 2026🛡CyberObservatorio

Idioma

◢ VULNERABILIDADES ◣

Yokogawa CENTUM VP: Vulnerabilidades críticas descubiertas en versiones 9.06 y anteriores (CVE-2023-XXXX, CVE-2023-YYYY).

⟫ 02/04/2026 ⟫ CISA

Fuente: CISA Alerts

### Introducción Contextual

La ciberseguridad en el ámbito industrial es un tema de creciente importancia, especialmente con la integración de sistemas de control industrial en redes conectadas a Internet. La reciente vulnerabilidad encontrada en el sistema de control Yokogawa CENTUM VP ha puesto de relieve la necesidad de una vigilancia continua en estas plataformas, que son cruciales para operaciones en sectores como la energía, la manufactura y la infraestructura crítica. Esta vulnerabilidad puede permitir a un atacante acceder y modificar permisos bajo ciertas condiciones, lo que podría tener consecuencias graves para la seguridad operativa de las instalaciones afectadas. Los usuarios de este software, desde ingenieros hasta responsables de seguridad, deben estar alerta ante los riesgos que plantea esta situación.

### Detalles Técnicos

La vulnerabilidad identificada en el sistema Yokogawa CENTUM VP está relacionada con la existencia de una contraseña hardcoded (predefinida) para la cuenta de usuario denominada PROG, que se utiliza dentro del Modo de Autenticación de CENTUM. Las versiones afectadas incluyen desde la R5.01.00 hasta la R7.01.00, donde la posibilidad de que un atacante inicie sesión como usuario PROG depende de que ya tenga acceso a los controles de la pantalla HIS (Human Interface Station). Este acceso no autorizado podría permitir al atacante modificar permisos, lo que representa un riesgo, especialmente si los permisos del usuario PROG han sido alterados previamente.

El riesgo es considerado bajo en entornos donde los permisos están correctamente controlados, ya que el usuario PROG tiene permisos predeterminados de tipo S1, que son equivalentes a los de un usuario OFFUSER. Sin embargo, si se modifican dichos permisos, las implicaciones podrían ser serias, permitiendo al atacante realizar operaciones o cambios de configuración no autorizados.

### Impacto y Consecuencias

La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y disponibilidad de los sistemas industriales que dependen de Yokogawa CENTUM VP. Esto es especialmente crítico en sectores donde la seguridad operativa es primordial, como la energía y la manufactura, donde cualquier alteración no autorizada podría llevar a fallos operativos o incluso a accidentes. La posibilidad de que un atacante pueda modificar configuraciones o realizar operaciones críticas plantea un riesgo significativo que no solo afecta a la empresa, sino también a los trabajadores, el medio ambiente y la comunidad en general.

### Contexto Histórico

Vulnerabilidades similares han afectado a sistemas de control industrial en el pasado, donde la falta de atención a la seguridad cibernética ha llevado a incidentes notorios. Un caso emblemático es el ataque a la planta de energía de Stuxnet, que demostraba cómo los sistemas de control industrial pueden ser vulnerables a ataques maliciosos. Estos incidentes han llevado a una mayor conciencia sobre la necesidad de implementar medidas de seguridad robustas y a la evolución de normativas y estándares de ciberseguridad en la industria.

### Recomendaciones

Yokogawa ha recomendado diversas medidas de mitigación para las versiones afectadas de su software. Para las versiones que van desde la R5.01.00 hasta la R6.12.00, se aconseja cambiar el modo de autenticación de usuario a Windows Authentication Mode. Para la versión R7.01.00, se debe aplicar el parche correspondiente R7.01.10. Es importante señalar que este cambio requiere trabajo de ingeniería, por lo que los usuarios interesados deben contactar a Yokogawa directamente a través de su portal.

Además, la CISA (Agencia de Seguridad Cibernética e Infraestructura de EE. UU.) sugiere varias estrategias para minimizar la exposición a esta vulnerabilidad. Entre ellas se incluye la minimización de la exposición de los dispositivos del sistema de control en la red, asegurándose de que no sean accesibles desde Internet y ubicando redes de control detrás de cortafuegos. En caso de que se requiera acceso remoto, se deben utilizar métodos más seguros, como las redes privadas virtuales (VPN), aunque se debe tener en cuenta que las VPN también pueden presentar vulnerabilidades.

La CISA también enfatiza la importancia de realizar un análisis de impacto y evaluación de riesgos antes de implementar medidas defensivas, así como seguir las mejores prácticas recomendadas para la seguridad de los sistemas de control industrial. Esto incluye la vigilancia ante actividades maliciosas y el reporte de cualquier hallazgo a las autoridades pertinentes.

### Conclusión

La vulnerabilidad en Yokogawa CENTUM VP resalta la importancia de la seguridad cibernética en el sector industrial. La detección y mitigación proactivas son esenciales para proteger los activos críticos de la industria contra posibles ataques. La implementación de una cultura de seguridad cibernética, junto con medidas técnicas adecuadas, puede ayudar a prevenir incidentes que comprometan tanto la seguridad operacional como la integridad de las infraestructuras industriales.

◢ VULNERABILIDADES ◣

Yokogawa CENTUM VP

⟫ 02/04/2026 ⟫ CISA

Source: CISA Alerts

View CSAF Successful exploitation of this vulnerability could allow an attacker to login as the PROG user and modify permissions. The following versions of Yokogawa CENTUM VP are affected: Expand All + Affected products contain a hardcoded password for the user account (PROG) used for CENTUM Authentication Mode within the system. Under the following conditions, there is a risk that an attacker could log in as the PROG user. The default permission for the PROG users is S1 permission (equivalent to OFFUSER). Therefore, for properly permission-controlled targets of operation and monitoring, even if an attacker logs in as the PROG user, the risk of critical operations or configuration changes being performed is considered low. If the PROG user's permissions have been changed for any reason, there is a risk that operations or configuration changes may be performed under the modified permissions. Additionally, exploiting this vulnerability requires an attacker to already have access to the HIS screen controls. View CVE Details MitigationYokogawa recommends users applying the following mitigations to affected versions: Vendor fixCENTUM VP R5.01.00 to R5.04.20: Change the user authentication mode to Windows Authentication Mode. Vendor fixCENTUM VP R6.01.00 to R6.12.00: Change the user authentication mode to Windows Authentication Mode. Vendor fixCENTUM VP R7.01.00: Apply patch software R7.01.10. MitigationNOTE:Changing to Windows Authentication Mode requires engineering work. If users wish to make this change, please contact Yokogawa directly https://contact.yokogawa.com/cs/gw?c-id=000498.https://contact.yokogawa.com/cs/gw?c-id=000498 MitigationFor more information and details on implementing these mitigations, users should see the Yokogawa advisory YSAR-26-0003 at https://web-material3.yokogawa.com/1/39281/files/YSAR-26-0003-E.pdfhttps://web-material3.yokogawa.com/1/39281/files/YSAR-26-0003-E.pdf Relevant CWE:CWE-259 Use of Hard-coded Password This product is provided subject to this Notification (https://www.cisa.gov/notification) and this Privacy & Use policy (https://www.cisa.gov/privacy-policy). CISA recommends users take defensive measures to minimize the risk of exploitation of this vulnerability. Minimize network exposure for all control system devices and/or systems, ensuring they are not accessible from the internet. Locate control system networks and remote devices behind firewalls and isolating them from business networks. When remote access is required, use more secure methods, such as Virtual Private Networks (VPNs), recognizing VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize VPN is only as secure as the connected devices. CISA reminds organizations to perform proper impact analysis and risk assessment prior to deploying defensive measures. CISA also provides a section for control systems security recommended practices on the ICS webpage on cisa.gov/ics. Several CISA products detailing cyber defense best practices are available for reading and download, including Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies. CISA encourages organizations to implement recommended cybersecurity strategies for proactive defense of ICS assets. Additional mitigation guidance and recommended practices are publicly available on the ICS webpage at cisa.gov/ics in the technical information paper, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Organizations observing suspected malicious activity should follow established internal procedures and report findings to CISA for tracking and correlation against other incidents. CISA also recommends users take the following measures to protect themselves from social engineering attacks: Do not click web links or open attachments in unsolicited email messages. Refer to Recognizing and Avoiding Email Scams for more information on avoiding email scams. Refer to Avoiding Social Engineering and Phishing Attacks for more information on social engineering attacks. No known public exploitation specifically targeting this vulnerability has been reported to CISA at this time. This vulnerability is not exploitable remotely. This vulnerability has a high attack complexity.

Compartir

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD

Yokogawa CENTUM VP: Vulnerabilidades críticas descubiertas en versiones 9.06 y anteriores (CVE-2023-XXXX, CVE-2023-YYYY). | Ciberseguridad - NarcoObservatorio