Doble alerta CVE-2025-5022 y CVE-2025-5023 en EcoGuideTAB de Mitsubishi: riesgo operativo y mitigación

🔍 Resumen rápido

Ambas vulnerabilidades recientes, CVE-2025-5022 (contraseñas débiles) y CVE-2025-5023 (credenciales estáticas incrustadas), afectan a los sistemas fotovoltaicos EcoGuideTAB PV‑DR004J/J A de Mitsubishi Electric. Situadas en dispositivos descontinuados desde 2015 (con soporte finalizado en 2020), presentan un riesgo real si aún están activos en entornos OT. En este artículo encontrarás descripciones técnicas, impacto operacional, productos afectados, mecanismos de explotación, puntuaciones CVSS, estrategias de mitigación y referencias oficiales.

🧐 ¿Qué es CVE-2025-5022 y CVE-2025-5023?

CVE-2025-5022 corresponde a una vulnerabilidad de tipo CWE‑521 (“Weak Password Requirements”). Permite que un atacante derive la contraseña Wi‑Fi a partir del SSID en unidades EcoGuideTAB, mientras el display esté activo NVD+7NVD+7vulners.com+7.

CVE-2025-5023, vinculada a CWE‑798 (“Use of Hard-coded Credentials”), se activa tras exploit de la anterior, descubriendo credenciales embebidas en el firmware. Esto posibilita la lectura de datos críticos (potencia, ventas de energía), su modificación, destrucción o incluso provocar un DoS .

Ambas requieren presencia física cercana (rango Wi‑Fi), no necesitan interacción del usuario, y son excluidas si el dispositivo entra en modo ahorro tras 5 minutos cvetodo.com.

📂 Productos afectados

• Mitsubishi Electric EcoGuideTAB PV‑DR004J (todas versiones)
• Mitsubishi Electric EcoGuideTAB PV‑DR004JA (todas versiones)

Descontinuados en 2015, sin soporte desde 2020 vulners.com+7NVD+7cvetodo.com+7.

💣 ¿Cómo funciona la vulnerabilidad?

CVE-2025-5022

• Debilidad: contraseñas débiles inferibles desde el SSID del Wi‑Fi.
• Condiciones: unidades en modo activo; tras 5 min en modo ahorro (LCD apagada), no es vulnerable.
• CVSS 3.1: 6.5 (AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) mitsubishielectric.com+1vulners.com+1GitHub+5NVD+5mitsubishielectric.com+5.

CVE-2025-5023

• Explota el primero para acceder a credenciales fijadas.
• Permite lectura de datos, manipulación del sistema o DoS.
• Mismo modo ahorro limita explotación.
• CVSS 3.1: 7.1 (AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H) GitHub+4NVD+4mitsubishielectric.com+4.

🔐 Mitigación y soluciones

Dado que no existen parches oficiales (productos fuera de soporte), se recomienda:

1. Desconectar o apagar el Wi‑Fi del dispositivo y/o apagar el display cuando no esté en uso.
2. Segmentar los dispositivos en una red aislada o VLAN con controles de acceso estrictos.
3. Proteger el perímetro físico: impedir que personas no autorizadas se acerquen a menos de 10 m.
4. Monitorizar tráfico en la red Wi‑Fi para detectar acceso sospechoso.
5. Sustituir por sistemas modernos actualizados, sin contraseñas débiles ni credenciales estáticas.
6. Capacitar al personal en riesgos asociados a sistemas OT legacy y seguir políticas de seguridad actualizadas.
7. Apagar display tras uso o limitar tiempo activo, reduciendo la ventanas de explotación.

📅 Publicación y referencias

• Primero reportadas por Mitsubishi PSIRT el 10 de julio de 2025 NVD+5mitsubishielectric.com+5cvetodo.com+5cvetodo.comNVD.
• Documentación oficial: Mitsubishi Electric PSIRT PDF “2025‑007” GitHub+7mitsubishielectric.com+7cvetodo.com+7.
• Detalles en NVD: CVE‑2025‑5022 y CVE‑2025‑5023 docs.qualcomm.com+8NVD+8NVD+8.

✅ Conclusión

Aunque los sistemas EcoGuideTAB están fuera de soporte, su presencia en entornos OT representa una amenaza real. La explotación de estas vulnerabilidades puede comprometer datos, disponibilidad e integridad de sistemas críticos. Es fundamental desactivar el Wi‑Fi, segmentar la red, monitorear, y —a largo plazo— reemplazar este hardware por equipos actualizados y seguros. La seguridad no debe sacrificarse por heredados sistemas industriales.

En digitalninjutsu.com estamos atentos a las últimas amenazas en ciberseguridad industrial. Comparte este artículo o déjanos tus dudas si necesitas ayuda adicional.