ISGroup Cybersicherheitsberatung

CVE-2023-2061: Hardcodierte FTP-Passwort-Schwachstelle in der Mitsubishi Electric MELSEC iQ-R/iQ-F Serie

Die Mitsubishi Electric MELSEC iQ-R und iQ-F Serien sind speicherprogrammierbare Steuerungen (SPS), die häufig in industriellen Steuerungssystemen (ICS) und OT-Umgebungen (Operational Technology) zur Automatisierung von Produktionsprozessen eingesetzt werden. Diese Geräte sind entscheidend für den Fabrikbetrieb, die Maschinensteuerung und die Aufrechterhaltung der Produktion. Eine Schwachstelle in einer derart kritischen Komponente stellt ein erhebliches Risiko für den Industriebetrieb dar.

Das Hauptrisiko besteht in der Möglichkeit für einen nicht authentifizierten Remote-Angreifer, FTP-Zugriff auf das Dateisystem des Geräts zu erlangen. Dies würde die Integrität und Verfügbarkeit des von der SPS gesteuerten industriellen Prozesses gefährden. Obwohl öffentlich keine Fälle einer aktiven Ausnutzung dieser spezifischen Schwachstelle gemeldet wurden, machen die geringe Komplexität des Angriffs und die öffentliche Verfügbarkeit von Exploit-Informationen sie zu einer kritischen Bedrohung. Alle netzwerkfähigen MELSEC-Module sind gefährdet, insbesondere in flachen Netzwerken, in denen OT- und IT-Systeme nicht angemessen segmentiert sind. Ein unbefugter Zugriff könnte zu Betriebsunterbrechungen, Schäden an der Ausrüstung oder unsicheren Sicherheitszuständen führen.

ProduktMitsubishi Electric MELSEC
Datum2025-12-04 12:28:03

Technische Zusammenfassung

Die Hauptursache für diese Schwachstelle ist CWE-798: Verwendung von hartkodierten Anmeldeinformationen. Ein statisches und nicht änderbares Passwort für den FTP-Dienst ist direkt in die Firmware der betroffenen EtherNet/IP-Module eingebettet. Dieses Passwort ist bei allen anfälligen Geräten identisch.

Der Angriffsablauf ist direkt:

  1. Ein Angreifer mit Zugriff auf das Netzwerk des MELSEC-Moduls identifiziert den offenen FTP-Port (TCP/21).
  2. Der Angreifer verwendet das öffentlich bekannte, hartkodierte Passwort, um sich am FTP-Dienst zu authentifizieren.
  3. Nach erfolgreicher Authentifizierung erhält der Angreifer Lese-, Schreib- und Löschzugriff auf das Dateisystem des Moduls.

Dieser Zugriff ermöglicht es einem Angreifer, sensible Konfigurationsdateien herunterzuladen, modifizierte oder bösartige Firmware hochzuladen oder Betriebsparameter zu ändern, mit dem Ziel, den von der SPS verwalteten industriellen Prozess zu unterbrechen oder zu sabotieren.

Betroffene Module:

  • MELSEC iQ-R Serie EtherNet/IP-Modul RJ71EIP91
  • MELSEC iQ-F Serie EtherNet/IP-Modul FX5-ENET/IP

Anwender sollten die offiziellen Mitteilungen des Herstellers konsultieren, um Informationen zu den korrigierten Firmware-Versionen zu erhalten.

Empfehlungen

  • Sofortige Patch-Anwendung: Konsultieren Sie die Sicherheitshinweise von Mitsubishi Electric für die korrigierten Firmware-Versionen der betroffenen Module der Serien MELSEC iQ-R und iQ-F und wenden Sie diese so schnell wie möglich an, unter Einhaltung der für OT-Umgebungen vorgesehenen Testverfahren.
  • Mitigationsmaßnahmen:
    • Wenn die FTP-Funktionalität nicht erforderlich ist, deaktivieren Sie den Dienst auf dem Modul.
    • Implementieren Sie eine strikte Netzwerksegmentierung, um das ICS/OT-Netzwerk vom Unternehmens-IT-Netzwerk und dem Internet zu isolieren.
    • Verwenden Sie Zugriffskontrolllisten (ACLs) auf Firewalls und Netzwerk-Switches, um den Zugriff auf den FTP-Port des Moduls (TCP/21) ausschließlich auf autorisierte Engineering-Workstations oder Management-Server zu beschränken.

  • Erkennungs- und Überwachungsaktivitäten:

    • Überwachen Sie Netzwerkprotokolle auf FTP-Verbindungsversuche zu den betroffenen Modulen von nicht autorisierten IP-Adressen.
    • Überprüfen Sie Firewall- und Switch-Konfigurationen, um sicherzustellen, dass keine unbefugten Pfade zum sensiblen OT-Netzwerk existieren.

  • Reaktion auf Vorfälle:

    • Im Falle einer vermuteten Kompromittierung isolieren Sie das betroffene Modul sofort vom Netzwerk, um seitliche Bewegungen oder weitere Auswirkungen auf den industriellen Prozess zu verhindern.
    • Bewahren Sie das Gerät für eine forensische Analyse auf und stellen Sie Konfiguration und Firmware aus einem bekannten, sicheren Backup wieder her.

  • Defense-in-Depth (Verteidigung in der Tiefe):

    • Stellen Sie sicher, dass sichere, Offline-Backups der SPS-Konfigurationen und der Firmware gepflegt werden.
    • Implementieren Sie ein robustes Asset-Management-Programm, um alle OT-Geräte und deren Firmware-Versionen zu verfolgen, um anfällige Systeme umgehend identifizieren zu können.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *