INCIBE alerta de una vulnerabilidad de alta severidad en productos Endress+Hauser que permite denegación de servicio remota

El aviso, coordinado con CERT@VDE, afecta a 17 modelos de medición industrial sin actualización disponible para la mayoría. La explotación del fallo podría interrumpir procesos críticos en entornos industriales.

El INCIBE ha emitido este jueves 16 de julio de 2026 una alerta de severidad alta por una vulnerabilidad de autenticación en múltiples productos de medición industrial de Endress+Hauser. El fallo, identificado como CVE-2024-8751, permite a un atacante remoto no autenticado modificar la dirección IP del dispositivo y provocar una condición de denegación de servicio (DoS).

EN 30 SEGUNDOS

  • ¿Qué ha ocurrido? El INCIBE ha coordinado un aviso de vulnerabilidad alta en equipos de Endress+Hauser que afecta a 17 modelos distintos.
  • ¿Dónde y cuándo? La alerta, publicada a las 10:43 horas de hoy, se basa en un reporte conjunto con el CERT@VDE.
  • ¿Qué resultado? El fallo permite denegación de servicio remota. Solo los modelos MSC800 y MSC800 LFT disponen de actualización correctiva; para el resto se aplican medidas de mitigación.

Una interfaz sin autenticación suficiente

La vulnerabilidad reside en la interfaz SopasET, presente en todos los equipos afectados. Un atacante remoto que no necesite credenciales puede enviar comandos a través de esta interfaz para modificar la configuración de red del dispositivo. El cambio de dirección IP aísla al equipo de su entorno de monitorización, impidiendo que los operadores accedan a los datos de medición y, por tanto, paralizando los procesos industriales que dependen de esos sensores.

El identificador CVE-2024-8751, asignado por el fabricante en coordinación con el CERT@VDE, ha sido clasificado con una severidad alta según la escala CVSS. Aunque no permite la ejecución de código ni el robo de información, el impacto sobre la disponibilidad de sistemas críticos —como analizadores de gases, módulos de comunicación o sensores de proceso— se considera suficiente para que el INCIBE active su sistema de alerta temprana y recomiende una actuación inmediata.

Publicidad

Productos afectados y medidas urgentes

El listado de equipos vulnerables incluye 17 referencias: FLPS, GM32, GMS800, GMS800 FIDOR, MARSIC200, MARSIC280, MARSIC300, MCS100FT, MCS200HW, MCS300P, MCU ETH-Service and Modbus-TCP Module, MERCEM300Z, MES1B B&B Converter, SAM800, SIPROCESS, VICOTEC320. Todos ellos, en todas sus versiones de firmware, presentan el fallo.

El fabricante Endress+Hauser ha publicado ya una actualización para los modelos MSC800 y MSC800 LFT, que deben ser actualizados a las versiones V4.26 y S2.93.20, respectivamente. Para el resto de equipos, a día de hoy no existe parche. Las medidas de mitigación recomendadas incluyen restringir el acceso a los dispositivos únicamente a entidades y usuarios autorizados, aplicar las guías generales de seguridad durante la operación y, sobre todo, segmentar la red industrial para que los equipos afectados no queden expuestos a conexiones no controladas.

La explotación de esta vulnerabilidad podría interrumpir procesos industriales críticos sin necesidad de que el atacante obtenga acceso autenticado al sistema.

El INCIBE insiste en que los responsables de seguridad de las plantas consulten las referencias facilitadas por el fabricante y sigan las indicaciones de ICS-CERT, limitando la exposición de los dispositivos y aplicando políticas de mínima conectividad. La alerta permanecerá activa mientras no haya solución completa para todos los modelos.

La coordinación del aviso se ha producido a través del INCIBE-CERT, el equipo de respuesta ante incidentes del Instituto Nacional de Ciberseguridad, que trabaja en contacto permanente con los principales fabricantes y organismos internacionales como el CERT@VDE alemán.

El panorama de la ciberseguridad

La industria española depende cada vez más de sistemas digitales de medición y control, lo que convierte las vulnerabilidades en equipos como los de Endress+Hauser en una amenaza directa para la continuidad de la producción. Según los datos del INCIBE, en 2025 se gestionaron más de 120.000 incidentes de ciberseguridad, de los cuales una proporción relevante correspondió a entornos industriales. El aviso de hoy se enmarca en un contexto de crecimiento sostenido de los ciberataques contra infraestructuras industriales, con un incremento de los intentos de denegación de servicio sobre dispositivos IoT y sistemas de control.

Publicidad

El hecho de que solo dos de los 17 modelos afectados cuenten con corrección inmediata subraya la importancia de aplicar medidas de segmentación y control de acceso como primera línea de defensa. Mientras los equipos permanezcan sin parche, cualquier dispositivo con acceso a la red interna puede convertirse en vector de ataque. El INCIBE continuará monitorizando la situación y emitirá las actualizaciones necesarias conforme el fabricante publique nuevas revisiones de firmware.