language
icon_07
English
64e68e22-8bb0-44d5-80c5-f6838f584e1c
Spanish
×
描述

Política de divulgación de vulnerabilidades de MOFIU


Última actualización: 1 de enero de 2026 

Versión: 1.4


1. Nuestro compromiso con la seguridad industrial En MOFIU, creemos que la seguridad no es una característica, sino un requisito fundamental para el panorama industrial moderno. Nuestra serie insignia SG100 está construida sobre una filosofía de Seguridad desde el diseño, incorporando la Raíz de confianza de hardware(HRoT) y el Arranque seguro a nivel de silicio. Sin embargo, reconocemos que el panorama de la ciberseguridad evoluciona constantemente. Valoramos el papel fundamental que desempeñan los investigadores de seguridad independientes para mantener a salvo el ecosistema industrial global. Esta política describe nuestro compromiso de investigar y resolver posibles vulnerabilidades que se nos informen de buena fe.


2. Puerto seguro y protección del investigador MOFIU se compromete a no iniciar acciones legales contra los investigadores que:

·       Participen en la investigación y prueba de vulnerabilidades de acuerdo con esta política.

·       Eviten cualquier actividad que pueda causar la interrupción del servicio, la destrucción de datos o daños a la infraestructura crítica de nuestros clientes.

·       Nos proporcionen un período razonable para remediar la vulnerabilidad antes de cualquier divulgación pública.

Consideramos que su investigación está autorizada siempre que se adhiera a estos principios.


3. Alcance de la investigación Animamos a la comunidad de seguridad a probar y analizar los siguientes activos:

Dentro del alcance:

·       Hardware: puertas de enlace (gateways) industriales de la serie MOFIU SG100 (interfaces físicas y lógicas).

·       Firmware: sistema operativo (SO) oficial de MOFIU y controladores integrados.

·       Protocolos de red: implementación de WireGuard, MQTT, etc., dentro de nuestros dispositivos.

·       API: API oficiales de gestión y telemetría de MOFIU.

Fuera del alcance:

·       Ataques de denegación de servicio (DoS/DDoS) contra los servidores corporativos de MOFIU o los dispositivos de los clientes.

·       Ingeniería social, suplantación de identidad (phishing) o ataques de seguridad física contra los empleados o las instalaciones de MOFIU.

·       Interrupción intencional de sistemas de control industrial (ICS) o redes SCADA en vivo.


4. Cómo informar de una vulnerabilidad Para garantizar una respuesta segura y rápida, envíe sus hallazgos a nuestro Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT):

·       Correo electrónico de contacto principal: PSIRT@mofiu.com

Incluya los siguientes detalles en su informe:

1.    Nombre del producto y versión del firmware (ej., SG100 v1.2.x).

2.    Tipo de vulnerabilidad (ej., desbordamiento de búfer, elusión de autenticación).

3.    Descripción detallada e impacto potencial.

4.    Pasos o scripts de prueba de concepto (PoC) para reproducir el problema.


5. Nuestro proceso de respuesta estructurado (SLA) MOFIU sigue un proceso de divulgación transparente y coordinado alineado con las directrices IEC 62443:

·       Acuse de recibo inicial: dentro de las 48 horas hábiles posteriores a la recepción de su informe.

·       Evaluación técnica: en un plazo de 10 días hábiles, nuestro PSIRT validará la vulnerabilidad y asignará una puntuación CVSS (Sistema de puntuación de vulnerabilidad común).

·       Remediación: para vulnerabilidades críticas, nuestro objetivo es lanzar un parche o mitigación en un plazo de 30 a 90 días.

·       Divulgación coordinada: trabajaremos con el investigador para publicar un aviso de seguridad (y solicitar una ID de CVE si corresponde) una vez que se implemente la solución.


6. Reconocimiento y Salón de la Fama MOFIU agradece profundamente el tiempo y la experiencia de los investigadores que nos ayudan a mejorar nuestros productos. Con su permiso:

·       Reconoceremos públicamente su contribución en nuestro Salón de la Fama de Seguridad oficial.

·       Mencionaremos su nombre en la documentación CVE pertinente.

·       Proporcionaremos hardware exclusivo de acceso anticipado de MOFIU para futuras pruebas (Opcional).


7. Contáctenos Para consultas generales de seguridad o para unirse a nuestro Programa de pruebas de seguridad beta, contáctenos en:

·       Empresa: Guangzhou Mofiu Technology Co., Ltd

·       Sitio web: www.mofiu.com

·       Correo electrónico: PSIRT@mofiu.com

  • MOFIU-SA-2025-001

  • MOFIU-SA-2025-002

  • MOFIU-SA-2025-003

  • MOFIU-SA-2025-004

ID del aviso: MOFIU-SA-2025-001 

  • Título: Inyección de comandos del SO autenticada en el módulo de configuración VPN

  • Gravedad: Alta (Puntuación CVSS v3.1: 8.8) 

  • Fecha de resolución: 20 de marzo de 2025 

  • Producto afectado: Serie SG100 (Firmware preliminar v0.9.0 y versiones anteriores) 


Descripción: Durante las primeras auditorías de firmware, se descubrió que el controlador de carga de configuración de OpenVPN/IPsec no desinfectaba correctamente los nombres de archivo de los certificados importados. Un usuario autenticado con acceso básico de solo lectura podría crear un nombre de archivo específico que contuviera metacaracteres de shell de Linux.


Impacto: La explotación exitosa de esta vulnerabilidad podría permitir a un actor malintencionado con credenciales de inicio de sesión válidas de bajo nivel ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con privilegios elevados.


Remediación: Solucionado en el firmware v0.9.1. Implementamos una validación de entrada estricta del lado del servidor, incluyendo en la lista de permitidos únicamente caracteres alfanuméricos para los nombres de archivo de certificados VPN cargados, y reemplazamos las llamadas al sistema del SO vulnerables por API de ejecución segura.

ID del aviso: MOFIU-SA-2025-002 

  • Título: Autenticación insuficiente en el módulo de gestión remota por SMS 

  • Gravedad: Alta (Puntuación CVSS v3.1: 8.1) 

  • Fecha de resolución: 12 de mayo de 2025 

  • Producto afectado: Serie SG100 (Firmware preliminar v0.8.5 y versiones anteriores) 

Descripción: La puerta de enlace (gateway) SG100 cuenta con un script de control remoto basado en SMS, que permite a los administradores consultar el estado del dispositivo o activar reinicios de la interfaz celular a través de 4G LTE. Nuestro equipo rojo interno identificó una falla lógica en la que, si un atacante falsificaba con éxito el número de teléfono del administrador autorizado a nivel del operador, el script de manejo de SMS de la puerta de enlace podría procesar comandos sin validar el PIN criptográfico secundario.


Impacto: Un actor no autorizado capaz de falsificar SMS (spoofing) podría forzar al firmware de la puerta de enlace a ejecutar un reinicio o interrumpir la conexión celular, lo que provocaría una interrupción temporal de la conectividad IoT.


Remediación: Solucionado en el firmware v0.8.6. El script de gestión de SMS fue completamente revisado y reestructurado. Todos los comandos SMS remotos ahora exigen estrictamente un sufijo de firma HMAC-SHA256 basado en el tiempo, neutralizando por completo los ataques de falsificación a nivel del operador.

ID del aviso: MOFIU-SA-2025-003 

  • Título: Vulnerabilidad de denegación de servicio (DoS) en el analizador Modbus TCP

  • Gravedad: Alta (Puntuación CVSS v3.1: 7.5) 

  • Fecha de resolución: 22 de octubre de 2025 

  • Producto afectado: Serie SG100 (Firmware preliminar v0.9.8 y versiones anteriores) 

Descripción: El SG100 admite la conversión avanzada de protocolos SCADA. Se descubrió una vulnerabilidad de software en el motor de análisis Modbus TCP donde la recepción de una secuencia de paquetes específicamente malformada con una longitud de encabezado anómala podría causar que el demonio de conversión de protocolos agotara los recursos de memoria asignados.


Impacto: Esta fuga de memoria podría hacer que el servicio de traducción de protocolos industriales se reinicie, lo que resultaría en una interrupción temporal de la transmisión de datos de telemetría SCADA. El enrutamiento central y los túneles VPN no se vieron afectados debido al aislamiento de procesos a nivel del sistema operativo (SO).


Remediación: Solucionado en el firmware v1.0.0 (Versión candidata a lanzamiento). El demonio del analizador Modbus se reescribió para incluir una comprobación estricta de límites y límites robustos de asignación dinámica de memoria.

ID del aviso: MOFIU-SA-2025-004 

  • Título: Cross-Site Scripting (XSS) almacenado en la interfaz de gestión web 

  • Gravedad: Media (Puntuación CVSS v3.1: 5.4) 

  • Fecha de resolución: 15 de diciembre de 2025 

  • Producto afectado: Serie SG100 (Firmware preliminar v1.0.2 y versiones anteriores) 

Descripción: Durante las pruebas de penetración internas de la interfaz de gestión web del SG100, nuestro PSIRT identificó una vulnerabilidad en el módulo de configuración de red. La desinfección insuficiente de los datos de entrada al guardar descripciones personalizadas de la interfaz de red podría permitir a un administrador autenticado inyectar JavaScript malicioso.


Impacto: Si se activa mediante otra sesión administrativa activa, esto podría provocar la ejecución de acciones no autorizadas dentro del contexto de la interfaz de usuario (UI) web, lo que podría alterar las reglas de enrutamiento.


Remediación: Solucionado en el firmware v1.0.3. Implementamos una codificación de salida estricta y algoritmos de validación de entrada exhaustivos en todos los campos de entrada de gestión web y de la interfaz de línea de comandos (CLI).

<
>
描述
Suscríbase para recibir nuestras últimas actualizaciones de ingeniería y avisos de seguridad.
HOJA INFORMATIVA
*Tu correo electrónico:
Aviso Legal y Condiciones de Uso
Política de Privacidad y Cookies
© 2026 MOFIU Technology. Todos los derechos reservados.
Condiciones Generales de Venta
粤ICP备2026072107号