CVE‑2025‑3699 en Mitsubishi Electric ICS: guía completa de vulnerabilidad y mitigación

🔍 Resumen rápido

La vulnerabilidad CVE‑2025‑3699 afecta numerosos controladores de aire acondicionado de Mitsubishi Electric (G‑50, AE‑200, CMS‑RMD‑J, entre otros). Se trata de un fallo de “Missing Authentication for Critical Function” (CWE‑306) que permite a un atacante remoto y no autenticado eludir los controles de acceso, controlar los sistemas, leer información sensible, o incluso manipular firmware. En este artículo descubrirás en detalle cómo funciona, qué productos están en riesgo, cómo mitigarlo y dónde encontrar los parches.

🧐 ¿Qué es la CVE‑2025‑3699?

CVE‑2025‑3699 es una vulnerabilidad de autenticación insuficiente en los controladores de aire acondicionado de Mitsubishi Electric. Clasificada como CWE‑306, permite a un atacante remoto saltarse el proceso de login y acceder a funciones críticas del sistema. Según el fabricante, fue reportada por Mihály Csonka scworld.com+14cisa.gov+14feedly.com+14.

NIST asignó un CVSS 3.1 de 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) y un CVSS 4.0 de 9.3 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N), calificándola como una vulnerabilidad crítica mitsubishielectric.com+7cisa.gov+7tisalabs.com+7.

📂 Productos afectados

Afecta a los siguientes controladores, con versiones hasta las señaladas:

• G‑50, G‑50‑W, G‑50A, GB‑50, GB‑50A: versión 3.37 y anteriores
• GB‑24A: versión 9.12 y anteriores
• G‑150AD, AG‑150A‑A/J, GB‑50AD, GB‑50ADA‑A/J: versión 3.21 y anteriores
• EB‑50GU‑A/J: versión 7.11 y anteriores
• AE‑200J/A/E, AE‑50J/A/E, EW‑50J/A/E, TE‑200A, TE‑50A, TW‑50A: versión 8.01 y anteriores
• CMS‑RMD‑J: versión 1.40 y anteriores cisa.gov+10nvd.nist.gov+10cisa.gov+10

Además, algunos modelos no tienen parche disponible; Mitsubishi está desarrollando actualizaciones para una parte de ellos cyberpress.org+2beyondmachines.net+2scworld.com+2.

💣 ¿Cómo funciona la vulnerabilidad?

El fallo reside en la API o interfaz web que permite realizar funciones críticas sin pasar por autenticación. Un atacante remoto puede:

• Saltarse el login, obteniendo acceso inmediato.
• Controlar el sistema, ajustando parámetros o apagándolo.
• Extraer información sensible, como configuraciones y status.
• Modificar firmware, usando la información extraída, lo cual compromete totalmente el dispositivo cisa.govbeyondmachines.netindustrialcyber.co+4nvd.nist.gov+4feedly.com+4.

Impacto según CVSS 3.1: AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H — lo que apunta a un riesgo muy alto sin interacción del usuario.

🔐 Mitigación y soluciones

Actualizar firmware: Aplicar las versiones corregidas disponibles para los modelos indicados (especialmente AE‑200J/A/E, AE/EW/TE/TW‑50A). Contactar a Mitsubishi para fechas de lanzamiento feedly.comfeedly.com+6cisa.gov+6beyondmachines.net+6.

1. Segmentación de red: Asegurar que los controladores estén en redes separadas o VLANs, sin acceso directo desde internet.
2. Restricción de acceso: Usar firewalls o VPN para limitar su acceso solo a hosts confiables.
3. Control de acceso físico: Proteger el acceso a los paneles y a cualquier computadora con conexión.
4. Actualización de endpoints: Mantener antivirus, sistemas operativos y navegadores actualizados en equipos que interactúan con los dispositivos.
5. Monitoreo: Implementar detección de accesos inusuales en los controladores.
6. Auditorías: Revisar esta vulnerabilidad como parte de su rutina de seguridad ICS/OT.

CISA respalda estas medidas y recuerda que, aunque aún no hay evidencia de explotación activa, esto no descarta riesgos futuros industrialcyber.convd.nist.gov+7cisa.gov+7cisa.gov+7.

📅 Publicación y referencias

• Fecha de publicación: 26 de junio de 2025 .
• Comunicados clave: Mitsubishi PSIRT (2025‑004), JVN (JVNVU96471539), CISA (ICSA‑25‑177‑01) scworld.com+7nvd.nist.gov+7jvn.jp+7.

✅ Conclusión

CVE‑2025‑3699 es una vulnerabilidad crítica que exige acción inmediata. El acceso no autenticado a sistemas de aire acondicionado industrial abre la puerta a interrupciones operacionales y posibles movimientos laterales en redes OT. Actualizar firmware, segmentar redes y aplicar controles robustos son pasos imprescindibles.

En digitalninjutsu.com estamos atentos a las últimas amenazas en ciberseguridad industrial. Comparte este artículo o déjanos tus dudas si necesitas ayuda adicional.