Gustavo Sied > OT/ICS > Delta CNCSoft-G2 corrige CVE-2026-3094: qué deben hacer hoy los equipos OT, SysAdmin y Seguridad

Delta CNCSoft-G2 corrige CVE-2026-3094: qué deben hacer hoy los equipos OT, SysAdmin y Seguridad

6 marzo, 2026 0 Comentarios

OT/ICS, Seguridad, Vulnerabilidades

, , , , , , , ,

CISA publicó la alerta ICSA-26-064-01 para Delta CNCSoft-G2 por CVE-2026-3094 (CWE-787). Qué implica para OT y qué acciones priorizar en 72 horas para reducir riesgo operativo.

**Bajada:** CISA republicó una alerta para Delta Electronics CNCSoft-G2 por una vulnerabilidad de escritura fuera de límites (CVE-2026-3094) que puede derivar en ejecución de código si se abre un archivo malicioso. Aunque no hay explotación pública reportada y el vector no es remoto, el riesgo operativo para entornos industriales es real cuando existe intercambio de archivos entre ingeniería y operación. Este análisis resume impacto, prioridades y un plan de acción aplicable en 72 horas.

Por qué este aviso merece atención ahora

El 5 de marzo de 2026, CISA publicó la alerta **ICSA-26-064-01** para **Delta Electronics CNCSoft-G2**, software usado en entornos de manufactura y automatización. El problema identificado es **CVE-2026-3094**, clasificado como **CWE-787 (Out-of-bounds Write)**, con una base **CVSS 3.1 de 7.8 (alto)**.

A primera vista, algunos equipos pueden subestimarlo por dos razones: CISA aclara que no hay explotación pública conocida y que no es una falla de explotación remota directa. Sin embargo, la misma descripción técnica deja claro el escenario crítico: si un operador o ingeniero abre un archivo DPAX especialmente manipulado, puede producirse ejecución de código en el proceso de CNCSoft-G2.

Ese patrón (archivo malicioso + software de ingeniería) es frecuente en ataques contra redes OT porque evita el camino clásico de “servicio expuesto a Internet” y explota un flujo cotidiano de trabajo: intercambio de proyectos, recetas, respaldos o paquetes de configuración.

Qué se sabe técnicamente de CVE-2026-3094

Según CISA y NVD, la vulnerabilidad afecta a versiones de CNCSoft-G2 **anteriores a V2.1.0.39**. La falla ocurre al procesar archivos DPAX en el componente DOPSoft, y permite una escritura fuera de límites con potencial de comprometer la integridad del proceso.

Datos clave para el análisis operativo:

  • **Tipo:** Out-of-bounds Write (CWE-787)
  • **Producto:** Delta Electronics CNCSoft-G2
  • **Versiones afectadas:** `< 2.1.0.39`
  • **Severidad:** Alta (CVSS 3.1 7.8)
  • **Vector relevante:** requiere interacción de usuario (abrir archivo manipulado)
  • **Estado de explotación pública:** no reportada por CISA al momento de publicación
  • **Mitigación principal:** actualización a **V2.1.0.39**

    • Es importante interpretar bien el “no remoto”: no significa “bajo impacto”, sino que el adversario necesita una etapa previa de entrega del archivo (correo, USB, repositorio compartido, ticket, mensajería interna, etc.). En operaciones industriales, ese vector es perfectamente viable.

    Impacto probable en ambientes OT y convergencia IT/OT

    Para equipos de infraestructura y seguridad, el mayor riesgo no es solo la estación de ingeniería comprometida, sino el **efecto de pivote**:

    1. Compromiso inicial en el endpoint de ingeniería.

    2. Robo de credenciales/llaves locales o reutilizadas.

    3. Movimiento lateral hacia recursos de operación (historians, HMI, repositorios de recetas, archivos de proyecto).

    4. Alteración de lógica, parámetros o continuidad operativa.

    En plantas con integración IT/OT avanzada, este tipo de incidente puede escalar desde “incidente de endpoint” a “incidente de disponibilidad de proceso” en poco tiempo, especialmente si no existe segmentación estricta ni control de archivos entrantes.

    Plan de respuesta recomendado (0-72 horas)

    1) Inventario inmediato y priorización

  • Identificar todos los activos con CNCSoft-G2 (físicos, virtuales, laboratorios y estaciones de contratistas).
  • Clasificar por criticidad de proceso y exposición a intercambio de archivos externos.
  • Priorizar patching en estaciones conectadas a correo o con transferencia frecuente de proyectos.

    • 2) Actualización controlada a V2.1.0.39

  • Descargar la versión corregida desde el centro oficial de Delta.
  • Validar compatibilidad con herramientas y proyectos existentes en entorno de pruebas.
  • Ejecutar despliegue escalonado con ventana de mantenimiento documentada.

    • 3) Controles compensatorios si no se puede actualizar en el día

  • Restringir apertura de archivos DPAX a orígenes explícitamente confiables.
  • Aplicar allowlisting de rutas y bloqueo de adjuntos no verificados.
  • Aislar estaciones de ingeniería de Internet y de la red corporativa cuando sea posible.
  • Reforzar EDR/AV con reglas específicas para comportamiento anómalo del proceso.

    • 4) Detección y monitoreo

  • Registrar aperturas de archivos de proyecto desde shares no habituales.
  • Alertar por ejecución de procesos hijos inusuales desde CNCSoft-G2/DOPSoft.
  • Revisar eventos de autenticación anómalos desde estaciones OT hacia sistemas IT.

    • 5) Gobierno y terceros

  • Verificar que integradores/proveedores también apliquen la versión corregida.
  • Exigir evidencia de actualización en contratos de soporte.
  • Incorporar este CVE al ciclo formal de gestión de vulnerabilidades OT.

    • Lecciones para equipos DevOps y plataformas híbridas

    Aunque el caso pertenece al mundo ICS, deja tres aprendizajes transferibles a entornos DevOps:

    1. **La superficie de ataque también vive en archivos “de negocio”.** No todo riesgo entra por puertos; mucho entra por procesos operativos.

    2. **“No explotable remotamente” no equivale a “riesgo menor”.** En cadenas con interacción humana, los archivos son un vector de ejecución.

    3. **Parchar sin visibilidad de activos no escala.** El inventario de software especializado sigue siendo la brecha más común entre seguridad declarada y seguridad real.

    Recomendaciones prácticas para la próxima semana

  • Formalizar una política “zero trust de archivos de ingeniería” (origen, validación, cuarentena).
  • Integrar alertas OT en el SIEM corporativo para correlación IT/OT.
  • Simular un ejercicio de mesa con escenario “archivo malicioso en estación de ingeniería”.
  • Revisar segmentación de red entre ingeniería, operación y servicios corporativos.
  • Medir tiempo real de remediación OT (desde aviso hasta parche efectivo en activo crítico).

    • Cierre

    CVE-2026-3094 no es un evento para sobrerreaccionar, pero sí para actuar con disciplina. El parche existe, la condición de explotación es entendible y los controles compensatorios son conocidos. La diferencia entre un aviso técnico y un incidente operativo suele estar en la velocidad de inventario, la calidad del cambio y la madurez de monitoreo IT/OT.

    Para equipos SysAdmin, DevOps y Seguridad que operan entornos industriales o mixtos, la prioridad es clara: **actualizar, segmentar y controlar el flujo de archivos de ingeniería**.

    Fuentes consultadas

  • CISA ICS Advisory ICSA-26-064-01 (Delta Electronics CNCSoft-G2): https://www.cisa.gov/news-events/ics-advisories/icsa-26-064-01
  • CISA CSAF JSON (detalle técnico y mitigaciones): https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/OT/white/2026/icsa-26-064-01.json
  • NVD CVE-2026-3094: https://nvd.nist.gov/vuln/detail/CVE-2026-3094
  • Delta download center (versión corregida): https://downloadcenter.deltaww.com/en-US/DownloadCenter?v=1&q=cncsoft&sort_expr=cdate&sort_dir=DESC
  • CWE-787 (MITRE): https://cwe.mitre.org/data/definitions/787.html

    • Posts Relacionados

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *