ISGroup Cybersicherheitsberatung

CVE-2023-2060: Schwachstelle durch schwache Passwörter im FTP-Server von Mitsubishi Electric MELSEC

Mitsubishi Electric MELSEC iQ-R und iQ-F sind speicherprogrammierbare Steuerungen (SPS), die weltweit in industriellen Steuerungssystemen (ICS) und Umgebungen der Betriebstechnologie (OT) eingesetzt werden. Diese Geräte sind entscheidend für die Automatisierung von Produktionsprozessen, die Steuerung von Maschinen und die Verwaltung von Infrastrukturen. Eine Schwachstelle in einer solch kritischen Komponente stellt ein erhebliches Risiko für die betriebliche Integrität und Sicherheit dar.

Das Hauptrisiko besteht im unbefugten Fernzugriff auf das Dateisystem der SPS über den integrierten FTP-Server. Dies könnte es einem Angreifer ermöglichen, die Logik der SPS zu manipulieren, was zu Produktionsausfällen, Schäden an der Ausrüstung oder gefährlichen Betriebszuständen führen kann. Obwohl es keine öffentlichen Berichte über eine aktive Ausnutzung gibt und diese CVE derzeit nicht im KEV-Katalog (Known Exploited Vulnerabilities) der CISA gelistet ist, ist der Angriffsvektor (Brute-Force-Angriff auf schwache Anmeldedaten) für jeden, der Netzwerkzugriff auf das Gerät hat, trivial durchzuführen.

Jede Organisation, die diese MELSEC EtherNet/IP-Module verwendet, sollte die Schwachstelle als Angelegenheit mit hoher Priorität betrachten. Die Gefährdung ist besonders kritisch in Umgebungen mit flachen Netzwerken, in denen IT-Systeme direkt mit OT-Assets kommunizieren können oder in denen der Fernzugriff auf das OT-Netzwerk nicht ausreichend geschützt ist.

ProduktMitsubishi Electric MELSEC iQ-R/F Serie
Datum05.12.2025 00:26:01

Technische Zusammenfassung

Die Hauptursache dieser Schwachstelle ist CWE-521: Schwache Passwortanforderungen für die integrierte FTP-Serverfunktion in den betroffenen EtherNet/IP-Modulen. Die Firmware erzwingt keine Komplexitätsregeln, was es den Betreibern ermöglicht, einfache und leicht zu erratende Passwörter festzulegen, die anfällig für Wörterbuch- oder Brute-Force-Angriffe sind.

Ein Angreifer mit Netzwerkzugriff auf den FTP-Port des Moduls kann systematisch versuchen, sich mit einer Liste gängiger oder voreingestellter Anmeldedaten anzumelden.

Angriffskette:

  1. Ein Angreifer scannt das Netzwerk und identifiziert einen offenen FTP-Port auf einem MELSEC EtherNet/IP-Modul.
  2. Der Angreifer startet einen Wörterbuch- oder Brute-Force-Angriff gegen den FTP-Authentifizierungsmechanismus.
  3. Aufgrund der schwachen Passwortrichtlinien gelingt es dem Angreifer, sich zu authentifizieren.
  4. Nach der Authentifizierung verfügt der Angreifer über Lese-, Schreib- und Löschberechtigungen für das Dateisystem der SPS. Dies kann ausgenutzt werden, um sensible Konfigurationsdaten zu exfiltrieren, schädliche Logik hochzuladen oder kritische Dateien zu löschen, um einen Denial-of-Service zu verursachen.

Betroffene Module:

  • MELSEC iQ-R Serie EtherNet/IP-Modul: Modell RJ71EIP91
  • MELSEC iQ-F Serie EtherNet/IP-Modul: Modell FX5-ENET/IP

Es gibt keinen spezifischen Patch für dieses Problem, da es als Konfigurationsschwäche betrachtet wird. Der Hersteller empfiehlt die Umsetzung bewährter Sicherheitsverfahren.

Empfehlungen

  • Sofortige Anwendung der Hersteller-Mitigationen: Erzwingen Sie die Verwendung starker, komplexer und eindeutiger Passwörter für den FTP-Server und alle anderen SPS-Schnittstellen. Beachten Sie die Richtlinien des Herstellers zur Passwortkonfiguration.
  • Einschränkung des Netzwerkzugriffs: Wenn die FTP-Server-Funktionalität für den Betrieb nicht erforderlich ist, deaktivieren Sie diese. Falls sie benötigt wird, implementieren Sie restriktive Firewall-Regeln und Zugriffskontrolllisten (ACLs), um sicherzustellen, dass nur autorisierte Systeme mit dem FTP-Port der SPS kommunizieren können.
  • Isolierung der Steuerungssysteme: Implementieren Sie eine Netzwerksegmentierung, um kritische OT-Netzwerke von Unternehmens-IT-Netzwerken zu isolieren. Dies verhindert, dass sich Angreifer seitwärts von einem kompromittierten IT-System zu einem sensiblen Steuerungssystem bewegen können. Verwenden Sie eine DMZ-Architektur für jeden notwendigen Datentransfer.
  • Suche und Überwachung:
    • Überwachen Sie den Netzwerkverkehr auf ein ungewöhnliches Volumen an fehlgeschlagenen FTP-Anmeldeversuchen an SPS-Geräten. Dies ist ein primärer Indikator für einen laufenden Brute-Force-Angriff.
    • Implementieren Sie eine Lösung zur Überwachung der Dateiintegrität (FIM) oder führen Sie regelmäßige Audits des SPS-Dateisystems durch, um unbefugte Änderungen, Ergänzungen oder Löschungen zu erkennen.

  • Reaktion auf Vorfälle: Isolieren Sie bei Verdacht auf eine Kompromittierung das betroffene Modul sofort vom Netzwerk, um die Bedrohung einzudämmen. Aktivieren Sie den Incident-Response-Plan der Anlage und sichern Sie Protokolle und forensische Daten für die Untersuchung.
  • Defense-in-Depth: Stellen Sie sicher, dass Engineering-Workstations geschützt sind und die Verwendung von Wechselmedien streng kontrolliert wird. Pflegen und testen Sie Offline-Backups der Konfigurationen und der SPS-Logik, die als zuverlässig bekannt sind, um eine schnelle Wiederherstellung zu ermöglichen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *