ISGroup Cybersicherheitsberatung

CVE-2023-2061: Schwachstelle durch kodiertes FTP-Passwort in Mitsubishi Electric MELSEC EtherNet/IP-Modulen

Mitsubishi Electric MELSEC iQ-R und iQ-F sind speicherprogrammierbare Steuerungen (SPS), die häufig in industriellen Steuerungssystemen (ICS) und Umgebungen der Betriebstechnologie (OT) eingesetzt werden. Diese Geräte sind grundlegende Komponenten in den Bereichen Fertigung, Automatisierung und kritische Infrastrukturen und steuern sensible, hochrelevante physikalische Prozesse.

Das Hauptrisiko ergibt sich aus einem fest codierten Passwort im FTP-Dienst, das es einem nicht authentifizierten Remote-Angreifer mit Netzwerkzugriff ermöglicht, die vollständige Kontrolle über das Dateisystem des Geräts zu erlangen. Dies bietet die Möglichkeit, industrielle Prozesse zu unterbrechen oder zu verändern, was zu potenziellen Folgen wie Betriebsausfällen, Geräteschäden oder der Produktion fehlerhafter Artikel führen kann.

Obwohl diese Schwachstelle nicht im KEV-Katalog der CISA enthalten ist, existiert ein öffentlicher Exploit, und die Einfachheit des Angriffs (Kenntnis eines statischen Passworts) macht einen Erfolg sehr wahrscheinlich. Jede Organisation mit MELSEC iQ-R- oder iQ-F-EtherNet/IP-Modulen, die über das Netzwerk zugänglich sind, ist unmittelbar gefährdet. Die Auswirkungen werden in flachen Netzwerkarchitekturen, in denen IT- und OT-Umgebungen nicht angemessen segmentiert sind, noch verstärkt.

ProduktMitsubishi Electric MELSEC EtherNet/IP-Module
Datum05.12.2025 00:14:28

Technische Zusammenfassung

Bei der Schwachstelle handelt es sich um CWE-798: Verwendung hartcodierter Anmeldeinformationen. Ein statisches, nicht konfigurierbares Passwort für den FTP-Dienst ist direkt in die Firmware der betroffenen Mitsubishi Electric MELSEC EtherNet/IP-Module eingebettet. Ein Angreifer mit Netzwerkzugriff auf den FTP-Port des Geräts kann sich mit diesem öffentlich bekannten Passwort authentifizieren.

Die Angriffskette ist einfach:

  1. Ein Angreifer identifiziert ein anfälliges MELSEC-Modul im Netzwerk, wie z. B. RJ71EIP91 oder FX5-ENET/IP.
  2. Der Angreifer initiiert eine FTP-Verbindung zum offenen FTP-Port des Geräts (TCP/21).
  3. Der Angreifer authentifiziert sich unter Verwendung der allgemein verfügbaren, hartcodierten Anmeldeinformationen.
  4. Nach der Authentifizierung erhält der Angreifer volle Lese-, Schreib- und Löschrechte auf dem Dateisystem des Moduls.

Dieser Zugriff ermöglicht es einem Angreifer, sensible Projektdateien herunterzuladen, die geistiges Eigentum in Bezug auf den industriellen Prozess enthalten können. Noch kritischer ist, dass ein Angreifer geänderte Steuerungslogik hochladen kann, um physische Abläufe zu manipulieren oder kritische Systemdateien zu löschen, was zu einem Denial-of-Service (DoS) führt, der die Produktion zum Stillstand bringt.

Betroffene Module:

  • MELSEC iQ-R Serie EtherNet/IP-Modul: RJ71EIP91
  • MELSEC iQ-F Serie EtherNet/IP-Modul: FX5-ENET/IP

Benutzer sollten die Sicherheitshinweise von Mitsubishi Electric bezüglich Informationen zu aktualisierten Firmware-Versionen konsultieren.

Empfehlungen

  • Sofortiges Patchen: Installieren Sie die von Mitsubishi Electric bereitgestellten Firmware-Updates für die betroffenen Module so schnell wie möglich.
  • Abhilfemaßnahmen:
    • Wenn die FTP-Funktionalität für den Geschäftsbetrieb nicht zwingend erforderlich ist, deaktivieren Sie den FTP-Server auf dem Modul.
    • Implementieren Sie strenge Zugriffskontrolllisten (ACLs) und Firewall-Regeln, um sicherzustellen, dass nur autorisierte Geräte und Personal auf den FTP-Port (TCP/21) der Steuerungen zugreifen können.
    • Minimieren Sie die Exposition aller Steuerungssystemgeräte gegenüber nicht vertrauenswürdigen Netzwerken. Isolieren Sie OT-Netzwerke nach Möglichkeit von IT-Netzwerken.

  • Hunting und Überwachung:

    • Überwachen Sie den Netzwerkverkehr aktiv auf FTP-Verbindungen zu den betroffenen MELSEC-Modulen. Untersuchen Sie alle Verbindungen, die von nicht autorisierten oder unerwarteten IP-Adressen stammen.
    • Überwachen Sie die Integrität der SPS-Projektdateien. Implementieren Sie ein System zur Berechnung von Datei-Prüfsummen und melden Sie unbefugte Änderungen.
    • Analysieren Sie Audit-Logs auf Dateizugriffsmuster, die auf unbefugte Enumerations-, Lese-, Schreib- oder Löschvorgänge hinweisen.

  • Reaktion auf Vorfälle:

    • Im Falle einer vermuteten Kompromittierung isolieren Sie die betroffenen Module sofort vom Netzwerk, um laterale Bewegungen oder weitere Unterbrechungen zu verhindern.
    • Führen Sie eine forensische Analyse durch, um das Ausmaß der Kompromittierung zu bestimmen.
    • Setzen Sie das Gerät mithilfe eines vertrauenswürdigen Firmware-Images und einer Projektdatei aus einem sicheren Backup auf einen bekannten, sicheren Zustand zurück.

  • Defense-in-Depth:

    • Wenden Sie eine robuste Netzwerksegmentierung zwischen IT- und OT-Umgebungen an, um kritische Steuerungssysteme zu schützen.
    • Pflegen Sie sichere, Offline-Backups aller kritischen SPS-Konfigurationen und Projektdateien.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *